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Editorial 


„Automobil und Internet werden eins” - so lautet die Überschrift des Interviews 
des eco-Verbandes der Deutschen Internetwirtschaft mit dem Vorsitzenden des Ver- 
bandes der Automobilindustrie Arndt G. Kirchhoff‘. Hier wird geplant „sämtliche im 
und am Fahrzeug entstehende Daten“ zu sammeln. Da ein erheblicher Teil dieser Daten 
einen Personenbezug aufweist, ist die Umsetzung des Datenschutzes ein wichtiger As- 
pekt bei der Digitalisierung der Mobilität. 


Big Data und die sogenannte „künstliche Intelligenz” bieten Chancen und Risiken bei 
der künftigen Entwicklung der Mobilität. Neben der Datenschutzthematik sind gerade 
beim autonomen Fahren weitere Grundrechte betroffen. So geht es hier auch um die 
Verantwortung für autonome Fahrzeuge, die von selbstlernenden Algorithmen ge- 
steuert werden. Selbst wenn sich die Zahl der Unfälle durch autonomes Fahren verrin- 
gern sollte - wie von einigen ProtagonistInnen gehofft wird - werden auch autonome 
Fahrzeuge Unfälle mit Verletzten und Toten verursachen. Da gilt es rechtliche und vor 
allem ethische Fragestellungen zu beantworten. Daher widmen sich die ersten beiden 
Beiträge unseres Schwerpunktes „Mobilität“ diesen Themen. 


Wie Sie im Beitrag „Tesla- Überwachungsmobil und Datenschleuder” nachlesen kön- 
nen, scheint es mit dem Datenschutz bei der Entwicklung moderner Fahrzeuge nicht 
immer so genau genommen zu werden. 


Datenschutzthemen gilt es aber nicht nur beim Individualverkehr zu erörtern, son- 
dern auch beim öffentlichen Personennah- und -fernverkehr. So schreibt der VCD 
Verkehrsclub Deutschland e.V. sehr deutlich: „Das Geschäft mit Nutzerdaten ist ein 
Markt für sich. Im Bereich Mobilität und der dazugehörigen Infrastruktur wird von 
Unternehmen eine große Menge personenbezogener Daten hoher Güte generiert. 
Ortsbezogene Daten machen eine Person in Verbindung mit den Diensten Planung, 
Ticketing, Zugang, On-Trip-Information etc. transparent.“? Auch beim Carsharing so- 
wie der Vermietung von Fahrzeugen aller Art fallen personenbezogene Daten an. Zu 
letzterem finden Sie ebenfalls zwei Beiträge in diesem Heft. 


Sollten Sie sich mit dem Thema vertieft beschäftigen wollen, kann ich Ihnen noch die 
Dissertation von Florian Sackmann „Datenschutz bei der Digitalisierung der Mobilität” 
(siehe Buchbesprechungen) empfehlen. 


Nun wünsche ich Ihnen eine interessante Lektüre. 
Werner Hülsmann 


1 https://www.eco.de/news/automobil-und-internet-werden-eins-interview-mit-arndt-g-kirchhoff/ 
2 https://www.vcd.org/themen/multimodalitaet/schwerpunktthemen/digitalisierung-mobilitaet/ 
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Deutschland hatte bereits 2017, und 
damit weltweit als erstes Land, recht- 
liche Rahmenbedingungen für den 
Regelbetrieb automatisierter Fahrzeuge 
der Stufen 3 und 4 (hoch- und vollauto- 
matisiert) verabschiedet. Auf europä- 
ischer Ebene sind Länder wie Öster- 
reich, Frankreich und die Niederlande 
mit eigenen Initiativen gefolgt. In den 
USA wurden in Kalifornien und Arizona 
sogar schon Vorschriften für das Testen 
und den Regelbetrieb autonomer Fahr- 
zeuge (der Stufe 5) erlassen.' 

Dieser Beitrag gibt einen Überblick 
über die rechtlichen Entwicklungen des 
automatisierten Fahrens in Deutschland 
und Europa und diskutiert die Heraus- 
forderungen für den Datenschutz. 


Regelungen in dem StVG 
Für die bereits schon länger verfügba- 


ren Systeme der Stufen 1 und 2 (assis- 
tiertes und teilautomatisiertes Fahren) 
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waren noch keine speziellen Regelungen 
im StVG (Straßenverkehrsgesetz) nötig, 
da sich hier der Fahrzeugführer ohnehin 
nicht vom Verkehrsgeschehen abwen- 
den darf. Anders verhält es sich bei den 
Automatisierungsstufen 3 und 4, auf die 
sich die vor drei Jahren beschlossenen 
Änderungen? des StVG beziehen. 

Konkret wurden neben Anforde- 
rungen an das Fahrzeug sowie an das 
Verhalten des Fahrzeugführers (88 1a, b) 
auch eigene Höchstbeträge für Haf- 
tungsfälle, die auf die Verwendung 
hoch- oder vollautomatisierter Fahr- 
funktionen zurückgehen, aufgenom- 
men (8 12 Abs. 1). 

Die seit jeher in dem StVG geltende 
Kombination der Gefährdungshaftung 
des Halters (gem. $ 7 Abs. 1) sowie 
der Verschuldenshaftung des Fahrers 
(gem. $ 18 Abs. 1) ist für hoch- und 
vollautomatisierte Fahrzeuge beibehal- 
ten worden. $ 1a Abs. 4 stellt klar, dass 
derjenige, der das System zur Fahrzeug- 


steuerung aktiviert und verwendet, als 

Fahrzeugführer gilt. Ihm ist ein Ent- 

lastungsbeweis bei Nutzung der hoch- 

oder vollautomatisierten Fahrfunktion 

möglich, falls nachgewiesen wird, dass 

keine der folgenden Verhaltensweisen 

vorgelegen hat: 

e nicht bestimmungsgemäße Verwen- 
dung der Funktion (8 1a Abs. 1) 

e Nichtbefolgen einer Aufforderung zur 
Übernahme (8 1b Abs. 2 Nr. 1) 

e Nichterkennen der Notwendigkeit der 
Übernahme (8 1b Abs. 2 Nr. 2) 


Zur Aufklärung der Frage, ob der 
Fahrzeugführer diesen Pflichten nach- 
gekommen ist, soll die mit 8 63a einge- 
führte Datenspeicherung beitragen, auf 
welche unten näher eingegangen wird. 

Der in 8 1c vorgesehene Bericht des 
Ministeriums zur Evaluierung der Re- 
gelungen steht noch aus, so dass nicht 
genau absehbar ist, welchen Bedarf es 
für weitere Anpassungen des StVG gibt. 
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Entwurf eines Gesetzes zum autono- 
men Fahren 


Auch wenn bis Anfang 2020 noch gar 
keine Fahrzeuge mit Systemen der Stu- 
fen 3 und 4 genehmigt waren,° wird ak- 
tuell im Verkehrsministerium am (noch 
nicht öffentlich verfügbaren) Entwurf 
eines „Gesetzes zum autonomen Fah- 
ren in festgelegten Betriebsbereichen” 
nebst Verordnung gearbeitet, welches 
allerdings eher auf Mobilitätsanbieter 
denn Privatnutzer abzuzielen scheint.‘ 

Das Verkehrsministerium scheint 
auch für autonome Fahrzeuge keine 
Abkehr von der sehr weitreichenden 
Halterhaftung zu beabsichtigen.’ Viel- 
mehr sollen auf den Halter deutlich um- 
fassendere Prüf- und Dokumentations- 
pflichten zukommen. 

Neu im Entwurf für das autonome 
Fahren ist dagegen das Konzept eines 
„Betriebsführers“, d.h. einer ständig 
bereiten natürlichen Person, die jeder- 
zeit Fahrmanöver freigeben und das 
Fahrzeug deaktivieren und in einen risi- 
kominimalen Zustand versetzen, jedoch 
nicht fernsteuern kann.‘ 

Der Betriebsführer soll für die Einhal- 
tung der straßenverkehrsrechtlichen 
Pflichten anstelle des (mit der Auto- 
matisierung entfallenden) Fahrzeug- 
führers verantwortlich sein und die- 
sem ausnahmsweise haftungsrechtlich 
gleichgestellt werden, wenn er vorge- 
schlagene Manöver freigeben oder das 
Fahrzeug deaktivieren müsste.’ 


Arten von Fahrzeugdatenspeichern 


Sowohl auf nationaler, als auch auf 
europäischer Ebene gibt es verschiede- 
ne Rechtsvorschriften, die eine Pflicht 
zur Speicherung von Fahrzeugdaten 
vorsehen. Die Datenerhebung und -ver- 
arbeitung bei automatisierten Fahrzeu- 
gen wird vor allem damit begründet das 
Risiko von Verkehrsunfällen zu reduzie- 
ren oder diese wenigstens besser aufklä- 
ren und die Haftungsfrage beantworten 
zu können. 

Bei den im Fahrzeug anfallenden Da- 
ten ist in aller Regel ein Personenbezug 
nach Art. 4 Nr. 1 DSGVO schon dadurch 
gegeben, dass sie mit der FIN (Fahrzeug- 
Identifizierungsnummer) oder dem Kfz- 
Kennzeichen verknüpft und damit dem 
Halter zuordenbar sind.® Insofern wird 
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man, auch schon um Schutzlücken zu 
vermeiden, die Verarbeitung dem Re- 
gime des Datenschutzes unterstellen.? 

Auf nationaler Ebene sieht 5 63a StVG 
verpflichtend einen Fahrmodusspeicher 
zur Speicherung von Positions- und 
Zeitangaben vor, zu denen ein Wechsel 
der Fahrzeugsteuerung zwischen Fahr- 
zeugführer und System erfolgt bzw. das 
System zur Übernahme auffordert." 
Auch erkannte technische Störungen 
soll das System in gleicher Weise pro- 
tokollieren. So soll einerseits verhin- 
dert werden, dass sich Fahrer bei einem 
Unfall pauschal auf ein Versagen des 
Systems berufen können, andererseits 
soll die Protokollierung aber auch zur 
Entkräftung des Schuldvorwurfs beitra- 
gen können.'! Die Daten dürfen dabei 
an die zur Ahndung von Verkehrsver- 
stößen zuständigen Stellen auf deren 
Verlangen übermittelt und auch bei 
diesen gespeichert und genutzt werden 
(8 63a Abs. 2 Satz 1 und 2 StVG). 8 63a 
Abs. 3 StVG verpflichtet den Halter un- 
ter bestimmten Voraussetzungen eine 
Datenübermittlung auch an Dritte (wie 
Unfallbeteiligte) zu veranlassen."? 

Auf Ebene der Wirtschaftskommission 
für Europa der Vereinten Nationen (UN- 
ECE) wird aktuell auch an einer Standar- 
disierung eines Data Storage System for 
Automated Driving (DSSAD) sowie eines 
Event Data Recorder (EDR) gearbeitet. 

Es sei zunächst angemerkt, dass - ob- 
wohl EDR häufig als „Unfalldatenspei- 
cher” übersetzt wird - im technischen 
Sprachgebrauch zwischen einem Acci- 
dent Data Recorder (ADR) und dem EDR 
differenziert wird. Unter ADR wird da- 
bei ein nachträglich eingebautes Gerät 
mit eigener Sensorik verstanden, wäh- 
rend das EDR (welches häufig mit dem 
Airbag-Steuersystem kombiniert wird) 
lediglich Fahrdaten aus den vorhande- 
nen Assistenzsystemen sammelt.'? Die- 
se Unterscheidung ist zumindest dann 
datenschutzrechtlich relevant, wenn 
bei einem ADR noch ein weiterer Verant- 
wortlicher i.S.v. Art. 4 Nr. 7 DSGVO, etwa 
der Hersteller des Geräts, an der Daten- 
verarbeitung beteiligt ist. 

Die Ansätze DSSAD und EDR sind da- 
bei hinsichtlich Zielrichtung und Verar- 
beitungslogik klar zu unterscheiden: '* 

« Für das EDR werden eine Vielzahl von 

Parametern (etwa Geschwindigkeit, 

Bremsverhalten) kontinuierlich in ei- 


nem Ringspeicher, dessen Kapazität 
auf wenige Sekunden beschränkt ist, 
aufgezeichnet. Ältere Daten werden 
dabei automatisch überschrieben, so- 
fern nicht ein Ereignis erkannt wird, 
das auf einen Unfall hindeutet (und 
z.B. den Airbag auslösen würde). 

Die Speicherung im Rahmen des DS- 
SAD erfolgt dagegen bewusst nicht 
ereignisgesteuert, sondern lückenlos 
über einen längeren Zeitraum (im Be- 
reich von Monaten), da die Informa- 
tion, ob ein Mensch oder das System 
das Fahrzeug gesteuert hat, auch in 
Situationen (z.B. leichtere Kollisio- 
nen, Verstöße gegen Verkehrsregeln) 
relevant ist, in denen es zu keiner 
Auslösung des Airbags kommt. 


Eine über das kurzzeitige Vorhalten im 
EDR hinausgehende Speicherung wird 
schon aufgrund des Umfangs der dabei 
anfallenden Daten technisch genauso 
wenig möglich sein, wie eine rein ereig- 
nisgesteuerte Aufzeichnung bei DSSAD." 

Das DSSAD ist in Konzeption und Ziel- 
setzung dem Fahrmodusspeicher gem. 
& 63a StVG vergleichbar, während EDRs 
bislang im deutschen Recht nicht vorge- 
schrieben sind, aber z.B. in den USA seit 
langem von den Herstellern verbaut und 
auf freiwilliger Basis z.B. von Mietwagen- 
Unternehmen in Deutschland genutzt 
werden. Fahrer müssen damit rechnen, 
dass die Auswertung eines Speichers ih- 
res Fahrzeugs bei einem Unfall auch ge- 
gen sie verwendet werden kann."® 

Die Ende vergangenen Jahres verab- 
schiedete EU-Verordnung 2019/2144 
gilt ab dem 06.07.2022 mit den in An- 
hang II festgelegten gestuften Anwen- 
dungszeitpunkten für die einzelnen 
Systeme. Sie sieht insbesondere mit 
der verpflichtenden ereignisbezogenen 
Datenaufzeichnung einen dem EDR ver- 
gleichbaren Fahrzeugdatenspeicher 
vor, der allerdings im Gegensatz zu die- 
sem und zu DSSDA bewusst so angelegt 
ist, dass keine personenbezogenen Da- 
ten verarbeitet werden (Art. 6 Abs. 5). 
Der Zweck der Verarbeitung ist auf die 
abstrakte Unfallforschung und -analyse 
sowie die Typgenehmigung beschränkt; 
nur für diese Zwecke dürfen die Daten 
den nationalen Behörden zur Verfügung 
gestellt werden (Art. 6 Abs. 4lit. d). 

Daneben schreibt die Verordnung 
2019/2144 in Art. 6 Abs. 1 noch sechs 
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weitere „hochentwickelte Fahrassistenz- 
systeme“ vor, darunter eine Vorrichtung 
zum Einbau einer alkoholempfindlichen 
Wegfahrsperre und zwei Warnsysteme bei 
Müdigkeit und nachlassender Aufmerk- 
samkeit des Fahrers bzw. bei nachlassen- 
der Konzentration.” Für automatisierte 
und vollautomatisierte Fahrzeuge gelten 
gem. Art. 11 zusätzliche Anforderungen, 
insbesondere ist ein System zur Überwa- 
chung der Fahrerverfügbarkeit vorzuse- 
hen. Die konkreten technischen Anfor- 
derungen sind von der Kommission aber 
noch zu präzisieren. 

Weniger bekannt dürfte sein, dass 
für Neuwagen ab dem kommenden Jahr 
die in Einrichtungen für die Überwa- 
chung des Kraftstoff- und/oder Energie- 
verbrauchs aufgezeichneten Daten der 
EU-Kommission bereitzustellen sind. 
Ziel der Verordnung 2019/631 ist die 
Reduktion von CO2-Emmissionen und 
die Schaffung von Transparenz über 
den tatsächlichen Verbrauch von Fahr- 
zeugen. Art. 12 Abs. 2 sieht dabei vor, 
dass u.a. die FIN, der Verbrauch und die 
zurückgelegte Strecke in regelmäßigen 
Abständen durch Hersteller, nationale 
Behörden oder aber auch per Direkt- 
übertragung zur Verfügung gestellt 
werden, bevor sie dann anonymisiert 
und aggregiert weiterverarbeitet wer- 
den. 

Schon seit März 2018 ist für alle Neu- 
wagen das System eCall vorgeschrieben 
(EU-Verordnung 2015/758), welches 
bei einem Unfall selbstständig einen 
Notruf absetzt und dabei einen Mini- 
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maldatensatz (wozu insb. die Position, 
Fahrtrichtung und der Fahrzeugtyp ge- 
hören) an die Leitstelle übermittelt. Im 
Grunde wird dabei für den beabsichtig- 
ten Zweck keine Fähigkeit zur Daten- 
speicherung benötigt, die über die vo- 
rigen zwei GPS-Positionen (welche zur 
Bestimmung der Fahrtrichtung genutzt 
werden) hinausgeht. Als kritisch wurde 
bei der Einführung v.a. gesehen, dass 
eCall (politisch gewollt) den Weg für 
Zusatzdienste bereiten soll, die perso- 
nenbezogene Daten der Insassen eines 
vernetzten Fahrzeugs nutzen." 

Neben den gesetzlich vorgeschrie- 
benen und standardisierten Fahrzeug- 
datenspeichern gibt es hersteller- 
spezifische, die z.T. umfangreichste 
Datenübermittlungen im Hintergrund 
veranlassen.'? Auch in einzelnen Steu- 
ergeräten wie jenen des ABS können 
Daten gespeichert sein, welche sich zur 
Aufklärung eines Unfalls heranziehen 
lassen. Sofern Telematik-Tarife genutzt 
werden, werten zudem Versicherungen 
laufend Daten über die Fahrweise aus, 
da diese die Beitragshöhe beeinflusst. 


Herausforderungen 


Nachdem die Verarbeitung personen- 
bezogener Daten aus dem vernetzten 
Fahrzeug zunächst eher durch Private 
wie Hersteller und Versicherungen vor- 
angetrieben wurde, geschieht dies nun 
mehr und mehr aufgrund gesetzlicher 
Regelungen. Das Ende der Entwicklung 
dürfte dabei noch nicht erreicht sein. 


Wie die Verordnung 2019/631 zeigt, be- 
schränkt sich die Regulierung auch nicht 
auf automatisierte Fahrzeuge allein. 

Während die vom nationalen und eu- 
ropäischen Gesetzgeber beabsichtigten 
Ziele allgemein wenig umstritten sein 
dürften, wird zurecht der Datenschutz in 
den Blick genommen, zumal auch tech- 
nische Konzepte und Spezifikationen 
noch fehlen (wie etwa eine Rechtsver- 
ordnung gem. 8 63b StVG) oder zu große 
Interpretationsspielräume zulassen. 

So ist etwa eine rechtliche Abgren- 
zung zwischen dem Fahrmodusspeicher 
gem. & 63a StVG und der in Erarbeitung 
befindlichen DSSAD-Spezifikation der 
UNECE noch nicht möglich, wie eine 
parlamentarische Anfrage ergab.?° In- 
teressanterweise wird weder von der 
zuständigen Arbeitsgruppe der UNECE, 
noch von der Automobilindustrie?! die 
Aufzeichnung der Position für das DS- 
SAD als erforderlich angesehen. Ange- 
sichts der Sensitivität von Fahrtrouten 
und der relativ langen Speicherdauer 
von sechs Monaten für Einträge im Fahr- 
modusspeicher sollte auch der deutsche 
Gesetzgeber die Regelung in 8 63a StVG 
überdenken. Sofern nicht gänzlich auf 
Positionsdaten verzichtet werden soll, 
wäre es bspw. denkbar diese in verkürz- 
ter Form zu speichern, wobei die führen- 
den Ziffern der Koordinaten abgeschnit- 
ten werden.” 

Ganz wesentlich für die Bewertung ist 
die Frage des Orts der Speicherung derim 
Fahrzeug erhobenen Daten und, damit 
verbunden, auch die Zugriffsmöglichkei- 
ten. Eine klare Präferenz zur Speicherung 
inner- oder außerhalb des Fahrzeugs 
scheint es noch nicht zu geben.” Auch 
wenn der Halter bzw. Fahrzeugführer 
selbst über den (technischen) Datenzu- 
griff entscheiden kann,?* wird er hierin 
nicht völlig frei sein. Die Weigerung, ei- 
nen von der Versicherung beauftragten 
Sachverständigen den Fahrzeugspeicher 
auslesen zu lassen, kann zum Nachteil 
des Versicherungsnehmers als Verlet- 
zung seiner Aufklärungsobliegenheit ge- 
wertet werden.” 

Häufig wird eine Datenspeicherung 
auf Servern des jeweiligen Fahrzeug- 
herstellers als „natürliche“ Wahl ange- 
sehen. Auch wenn technische Gründe 
dafürsprechen mögen ist jedoch auch 
die Interessenlage der Hersteller zu be- 
denken. Z.B. trägt ein Halter bei einem 
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Produkthaftungsstreit die Beweislast 
und ist darauf angewiesen, dass der 
Prozessgegner ihm sämtliche Daten zur 
Verfügung stellt. Daher ist bereits das 
Modell eines hoheitlichen Backends für 
die fahrzeugexterne Datenspeicherung 
vorgeschlagen worden.”® 

Speziell die Warnsysteme der Ver- 
ordnung 2019/2144 sind eher „Fahrer- 
überwachungssysteme“” denn Fahr- 
zeugdatenspeicher. Es ist fraglich, wie 
stark man in diesem Zusammenhang 
die Datenerfassung einschränken kann, 
damit diese Systeme noch zuverlässig 
funktionieren. EG 10 der Verordnung 
postuliert zwar, dass die Systeme ohne 
biometrische Daten, einschließlich Ge- 
sichtserkennung, auskommen sollten, ?® 
jedoch verfügen aktuelle Fahrzeugmo- 
delle bereits über Innenraumkameras. ”° 

Die im Rahmen der ereignisbezogenen 
Datenaufzeichnung vorgesehene Ano- 
nymisierung ist zu begrüßen. Allerdings 
gibt es schon Forderungen, dass die 
Daten dennoch als Beweismittel vor Ge- 
richt genutzt werden können.’ Hier und 
ebenso bei den anderen Systemen ist also 
genau darauf zu achten, dass sich nicht 
doch ein function creep einstellt. 

Automatisierte und vernetzte Fahr- 
zeuge sind schon treffend als „Smart- 
phones auf Rädern” oder „rollende 
Datenbanken“ charakterisiert worden. 
Offenkundig besteht ein zunehmender 
Drang zur Sammlung und Verarbeitung 
personenbezogener Daten aus ganz un- 
terschiedlichen Motivationen heraus. 
Am Ende darf es nicht zu Verkehrsteil- 
nehmern kommen, die vor Unfallge- 
fahren vermeintlich besser geschützt, 
dafür aber vollends gläserne Autofahrer 
sind. Zu erwägen wäre daher ein ein- 
heitliches, bereichsspezifisches Regel- 
werk für alle Verarbeitungen personen- 
bezogener Daten durch Fahrzeuge etwa 


Jetzt DVD-Mitglied werden: 


in der Art der E-Privacy-Verordnung 
- auch wenn deren bisherige Historie 
natürlich nicht in jeder Hinsicht als Vor- 
bild dienen kann. 
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Leopold Beer 


Autonomes Fahren, fliegende Taxis & Co. - 
Die goldene Zukunft? 


Eine rechtliche Analyse des Einsatzes von Kl im Mobilitätssektor 


Immense Fortschritte in der Leis- 
tungsfähigkeit von Hard- und Software 
haben die Technologie weit über die 
einfache Darstellung und sonstige Ver- 
arbeitung von Informationen in elektro- 
nischer Form, d.h. die „klassische“ Digi- 
talisierung, hinausgeführt. Der Begriff 
„künstliche Intelligenz” (KT) bezieht 
sich auf Software, die selbstständig 
lernt und entscheidet. Klistin der Lage 
komplexe Auswahlprozesse mit einer 
Vielzahl von Daten selbständig durch- 
zuführen und mit Hilfe softwaregesteu- 
erter Maschinen umzusetzen. Während 
Algorithmen ursprünglich elektroni- 
sche Selektionsprozesse waren, die 
von menschlichen Programmierern be- 
stimmt wurden, können Algorithmen 
der neuen Generation auf der Basis von 
Strukturen neuronaler Netze mit Rück- 
kopplungsmechanismen aus großen 
Datenmengen, mit denen sie gefüttert 
werden, autonom Muster erkennen, In- 
formationen kategorisieren, also „ler- 
nen“ und selektieren, d.h. entscheiden 
(„maschinelles Lernen“). Die KI ist in 
der Lage auf der Basis von möglichst 
umfangreichem Datenmaterial durch 
Vergleich abstraktes „Denken“ zu si- 
mulieren. Auf diese Weise löst sich die 
KIvon den Vorgaben der Programmierer 
und setzt das Megathema der mensch- 
lichen Kontrolle über die KI auf die Ta- 
gesordnung politischer, ethischer und 
rechtlicher Diskussionen. Denn nicht 
alles, was technisch möglich und öko- 
nomisch erwünscht ist, darfin der Re- 
alität umgesetzt werden. 

Insbesondere die Frage des Daten- 
schutzes bei autonomen Systemen ist 
eine wesentliche Herausforderung. Im 
Mobilitätssektor kann KI beispielsweise 
im Rahmen des autonomen Fahrens ein- 
gesetzt werden. Hierbei werden massen- 
haft Daten verarbeitet, die teilweise auch 
einen Personenbezug vorweisen, sich 
also nach der Definition der EU-Daten- 
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schutz-Grundverordnung (DSGVO) auf 
eine identifizierte oder identifizierbare 
natürliche Person beziehen. Eine Wah- 
rung der Rechte und Freiheiten dieser 
Personen ist von essenzieller Bedeutung. 


Hambacher Erklärung 


Als eine Art Wegweiser hinsichtlich 
des Einsatzes von KI unter Wahrung 
des Datenschutzes kann die Hambacher 
Erklärung der Konferenz der unabhän- 
gigen Datenschutzaufsichtsbehörden 
des Bundes und der Länder (DSK) vom 
03. April 2019 verstanden werden. Hier 
setzen die Datenschutzaufsichtsbehör- 
den erste Rahmenbedingungen hin- 
sichtlich des Einsatzes von Kl. 

Zunächst gelten für KI-Systeme die 
Grundsätze für die Verarbeitung per- 
sonenbezogener Daten (Art. 5 DSGVO), 
welche frühzeitig durch technische und 
organisatorische Maßnahmen vonsei- 
ten des Verantwortlichen umgesetzt 
werden müssen (Privacy by Design). Er- 
gänzend wird von den Datenschutzauf- 
sichtsbehörden in dem Positionspapier 
gefordert, dass: 

a. KI Menschen nicht zum Objekt macht 
(Art. 1Abs. 1 GG, Art. 1GRCh), 

b. KI nur für verfassungsrechtlich legi- 
timierte Ziele eingesetzt wird und das 
Zweckbindungsgebot nicht aufhebt 
(Art. 5 Abs. 1lit. b DSGVO), 

c. Kl transparent, nachvollziehbar und 
erklärbar ist (Art. 5 Abs. 1lit. aund 
12 DSGVO), 

d. KI Diskriminierungen vermeidet 
(Art. 3 GG, Art. 20 GRCh), 

e. KI den Grundsatz der Datenmini- 
mierung einhält (Art. 5 Abs. 1 lit. c 
DGVO), 

f. KI die Bestimmung des Verantwort- 
lichen ermöglicht (Art. 5 Abs. 2 DS- 
GVO) und 

g. KIdurch technische und organisato- 
rische Maßnahmen datenschutzge- 


recht ausgestaltet wird (Art. 24, 25 
und 32 DSGVO). 


Use-Case: Autonomes Fahren 


Im Folgenden werden datenschutz- 
rechtliche Rahmenbedingungen exem- 
plarisch am Einsatz von KI im Bereich 
des autonomen Fahrens erläutert. Hier 
ist zunächst zu prüfen, ob ein Personen- 
bezug der verarbeiteten Daten vorliegt 
und ob überhaupt von einer Datenverar- 
beitung im Sinne der DSGVO gesprochen 
werden kann. Im Anschluss muss der 
Verantwortliche bestimmt werden, der 
die Zulässigkeitsvoraussetzungen für 
eine Verarbeitung erfüllen und die Da- 
tensicherheit gewährleisten muss. 


Personenbezug 


Eine Anwendbarkeit des Datenschutz- 
rechts ist nur dann zu bejahen, wenn 
ein Personenbezug vorliegt. In Art. 4 
Nr. 1 DSGVO sind personenbezogene Da- 
ten als alle Informationen, die sich auf 
eine identifizierte oder eine identifizier- 
bare natürliche Person beziehen, defi- 
niert. Einige Daten, wie die Positionsda- 
ten des Fahrzeuges, haben in jedem Fall 
einen Personenbezug zum Fahrer des 
Kfz. Doch auch Daten über das Umfeld 
des autonom fahrenden Autos können 
- je nach technischer Ausgestaltung - 
als personenbezogene Daten anderer 
Verkehrsteilnehmer gewertet werden. 
So ist ein Großteil aller im Rahmen des 
autonomen Fahrens erhobenen Daten 
als personenbezogen zu qualifizieren. 

Ein spannender Diskussionspunkt 
ergibt sich aus der Tatsache, dass KI 
auch in der Lage sein kann, neue Daten- 
quellen zu erschließen und gesammelte 
Daten damit zu verknüpfen, was den 
Diskussionsbereich um das Phänomen 
„Big Data” eröffnet. Problematisch ist 
hier insbesondere, dass Kl in der Lage 
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sein kann ursprünglich anonyme Daten 
eines Betroffenen durch Auswertung 
zusätzlicher Informationsquellen einer 
Person zuzuordnen. Eine Zulässigkeit 
dieser Verkettung von Informationen 
und der Herleitung neuer Daten (bei- 
spielsweise durch statistische Zusam- 
menhänge) ist wohl im Einzelfall zu 
beurteilen. 


Datenverarbeitung 


Im nächsten Schritt gilt es zu beur- 
teilen, ob überhaupt eine Datenverar- 
beitung im Sinne der DSGVO vorliegt. 
Was unter einer Datenverarbeitung zu 
verstehen ist, wird in Art. 4Nr. 2 DSGVO 
legaldefiniert. So ist eine Verarbeitung 
„jeder mit oder ohne Hilfe automati- 
sierter Verfahren ausgeführten Vorgang 
oder jede solche Vorgangsreihe im Zu- 
sammenhang mit personenbezogenen 
Daten“. Exemplarisch werden anschlie- 
ßend das Erheben, das Erfassen, die 
Organisation, das Ordnen, die Speiche- 
rung, die Anpassung oder Veränderung, 
das Auslesen, das Abfragen, die Verwen- 
dung, die Offenlegung durch Übermitt- 
lung, Verbreitung oder eine andere Form 
der Bereitstellung, den Abgleich oder 
die Verknüpfung, die Einschränkung, 
das Löschen oder die Vernichtung als 
relevante Datenverarbeitungsvorgänge 
genannt. 

Zahlreiche Datenverarbeitungsvor- 
gänge im Zusammenhang mit autono- 
mem Fahren dürften nach dieser Defini- 
tion zweifelsfrei als Datenverarbeitung 
1.S.d. DSGVO zu beurteilen sein. Schwie- 
riger wird die Einordnung, wenn Daten 
innerhalb eines Bruchteils von einer 
Sekunde durch KI ausgewertet und an- 
schließend sofort wieder überschrieben 
werden, wie das insbesondere beim Ein- 
satz von Ultraschall, Radar und Lidar im 
Rahmen der Umgebungsüberwachung 
beim autonomen Fahren üblich ist. Eine 
Speicherung solcher Daten über den 
Zeitpunkt der Auswertung durch auto- 
nome Systeme hinaus ist in aller Regel 
nicht erforderlich. Nach Wertung der 
DSGVO spielt die Dauer des Vorgangs 
zwar keinerlei Rolle bei der Beurteilung 
des Vorliegens einer Datenverarbeitung, 
doch im Einzelfall kann eine differen- 
zierte Betrachtung geboten sein. So ist 
eine Verarbeitung wohl stets dann zu 
verneinen, wenn eine Überschreibung 
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der Daten so schnell erfolgt, dass für ei- 
nen Menschen keinerlei Möglichkeit der 
Kenntnisnahme besteht. An dieser Stel- 
le ist jedoch zu berücksichtigen, dass 
diese Ausnahme keine wesentliche Rol- 
lein der Praxis spielen dürfte, da bereits 
aus Gesichtspunkten der IT-Sicherheit 
eine Eingriffsmöglichkeit des Menschen 
bestehen muss. 


Verantwortlicher 


Die Bestimmung des Verantwortli- 
chen beim autonomen Fahren ist häufig 
nicht leicht, da eine Vielzahl von Betei- 
ligten mitwirken. Die DSGVO versteht 
unter dem Verantwortlichen diejenige 
natürliche oder juristische Person, Be- 
hörde, Einrichtung oder andere Stelle, 
die allein oder gemeinsam mit anderen 
über die Zwecke und Mittel der Verar- 
beitung von personenbezogenen Daten 
entscheidet. Es ist also darauf abzustel- 
len, wer konkret über dasOb, Warum und 
Wie der Datenverarbeitung entscheidet, 
also faktisch Einfluss auf die Datenver- 
arbeitung ausübt. Als Verantwortlicher 
kommen in Betracht der Eigentümer 
und Halter bei Daten über Fahrer des 
Fahrzeugs und Mitfahrer (wobei hier das 
sog. „Haushaltsprivileg” des Art. 2 Abs. 2 
lt. c DSGVO zu berücksichtigen ist), 
der Hersteller bei einer permanenten 
Datenübertragung oder Bestehen einer 
Zugriffsmöglichkeit ohne Mitwirkung 
des Halters auf das Fahrzeug, die Ver- 
sicherung im Falle einer Übermittlung 
von Daten über das Fahrverhalten im 
Zusammenhang mit einem Telematik- 
Tarif oder Werkstätten bei Auslesung 
von Daten aus dem Fahrzeug. 


Zulässigkeit 


Die rechtliche Zulässigkeit von Daten- 
verarbeitungen ist in der DSGVO nach dem 
Prinzip eines Verbots mit Erlaubnisvor- 
behalt ausgestaltet. Personenbezogene 
Daten dürfen demzufolge nur verarbeitet 
werden, wenn einer der Ausnahmetatbe- 
stände des Art. 6 DSGVO erfülltist. 

HieristzunächstArt.6Abs.1S.1lit.c 
DSGVO heranzuziehen, nach dem eine 
Verarbeitung dann zulässig ist, wenn 
sie zur Erfüllung einer rechtlichen Ver- 
pflichtung des Verantwortlichen erfor- 
derlich ist. Als eine solche rechtliche 
Verpflichtung kommt insbesondere 


8 63a Straßenverkehrsgesetz (StVG) in 
Betracht, der vorsieht, dass in kriti- 
schen Situationen die per Satellitenna- 
vigationssystem ermittelten Positions- 
daten und der Zeitpunkt gespeichert 
werden, um so Unfälle aufklären sowie 
Fehlfunktionen nachvollziehen zu kön- 
nen. Diese Daten dürfen gem. 8 63 a 
Abs. 25. 1 und 2 StVG an die zur Ahn- 
dung von Verkehrsverstößen zuständi- 
gen Stellen auf deren Verlangen über- 
mittelt und von diesen gespeichert und 
genutzt werden. Zudem kann auch eine 
Übermittlung an Dritte, wie Unfallbetei- 
ligte, geboten sein. 

Als Rechtsgrundlage kommt auch 
die Verarbeitung auf Grundlage eines 
bereits geschlossenen oder sich anbah- 
nenden Vertrages nach Art. 6 Abs. 1 
S. 1 lit. b DSGVO in Betracht. In aller 
Regel bestehen keine vertraglichen Ver- 
hältnisse zwischen Eigentümer, Halter, 
Fahrer, Mitfahrer und dem Hersteller, 
sodass eine Heranziehung dieses Er- 
laubnistatbestandes häufig ausschei- 
det. Relevant wird die Rechtsgrundla- 
ge jedoch im Fall des oben erwähnten 
Telematik-Tarifs mit einer Versicherung. 
Hier ist die Datenverarbeitung zur Erfül- 
lung des mit der Versicherung geschlos- 
senen Vertrages notwendig. 

Insbesondere für Hersteller interes- 
sant kann die Rechtsgrundlage des be- 
rechtigten Interesses nach Art. 6 Abs. 1 
S. 1 lit. £ DSGVO sein. Hier findet eine 
Interessensabwägung der berechtigten 
wirtschaftlichen, rechtlichen oder ide- 
ellen Interessen des Verantwortlichen 
mit den Grundrechten und Grundfrei- 
heiten des Betroffenen statt. Diese 
Abwägung dürfte in Hinblick auf eine 
korrekte und sichere Funktionsweise 
des Fahrzeugs bei autonomer Steuerung 
oder einer anonymisierten bzw. pseud- 
onymisierten Datenauswertung zur Ver- 
besserung und Weiterentwicklung des 
autonomen Systems wohl klar zuguns- 
ten des Herstellers ausfallen und der- 
artige Verarbeitungen als rechtmäßig 
statuieren, kann jedoch in zahlreichen 
Fällen auch anders ausfallen. So dürfte 
eine Verarbeitung, die durch Auswer- 
tung der Positionsdaten des Fahrzeugs 
Auskunft über den Gesundheitszustand 
des Fahrers ermöglicht (beispielsweise 
durch Erkenntnis häufiger Arztbesuche 
nach Auswertung der Positionsdaten) 
kaum zulässig sein. 
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Schließlich kommt zur Legitimierung 
des Verarbeitungsvorganges eine Einwil- 
ligung nach Art. 6 Abs. 15. 1lit. aDSGVO 
infrage. Diese Einwilligung muss freiwil- 
lig, informiert, zweckbezogen und be- 
zogen auf eine bestimmte Verarbeitung 
sowie unmissverständlich abgegeben 
werden und jederzeit widerrufbar blei- 
ben. Ein Problem ergibt sich insbeson- 
dere bei letztgenanntem Punkt. In der 
Praxis ist ein Widerruf einer Einwilligung 
ohne Nachteile für die betroffene Person 
nur schwer möglich, da ein Widerruf der 
Einwilligung streng genommen wohl zur 
Folge hätte, dass das autonom fahrende 
Auto schlicht während der Fahrt stehen- 
bleiben würde. Denkbar ist eine Einwilli- 
gung aus diesem Grund vielmehr nur im 
Bereich der Komfortfunktionen. Bei der 
Auswertung von Umgebungsdaten ist 
eine Einwilligung nicht praktikabel, da 
es schier unmöglich ist, die Einwilligung 
aller Verkehrsteilnehmer einzuholen. 
Hier müssen Daten also - sofern die Er- 
hebung nicht unter einem anderen der 
oben genannten Zulässigkeitspunkte er- 
laubt ist - unverzüglich wieder gelöscht 
oder anonym verarbeitet werden. 


Sicherheit 


Schließlich hat der Verantwortliche 
sicherzustellen, dass die Daten ent- 
sprechend geschützt werden. So fordert 
Art. 24 DSGVO eine Bewertung der 
Schwere und der Eintrittswahrschein- 
lichkeit der Risiken der Verarbeitung 
vor ihrem Beginn durch den Verant- 
wortlichen. Art. 32 DSGVO ergänzt diese 
Regelung, indem der Verantwortliche 
zur Implementierung geeigneter tech- 
nischer und organisatorischer Maßnah- 
men, die ein dem Risiko angemessenes 
Schutzniveau der Daten gewährleisten, 
verpflichtet wird. Für die Entwicklung 
sicherer Systeme für das automatisier- 
te Fahren müssen IT-Sicherheitsrisiken 
schon während der Entwicklung me- 
thodisch identifiziert, bewertet und 
behandelt werden. Insbesondere der 
Zugriff von unbefugten Dritten auf das 
Fahrzeug muss durch entsprechende Si- 
cherheitskonzepte verhindert werden. 
Es bedarf einer Entwicklung passender 
Zertifizierungsverfahren für die Daten- 
sicherheit im Bereich des autonomen 
Fahrens, um einen einheitlichen Sicher- 
heitsstandard zu gewährleisten. 


226 


Haftung 


Aufgrund des teilweise nicht oder 
nur schwer vorhersehbaren Verhaltens 
durch neurales Lernen entstehen gewis- 
se Risiken, weswegen ein weiterer zent- 
raler Punkt derim Rahmen des Einsatzes 
von Kl im Mobilitätssektor zu diskutie- 
ren ist, die Frage der Haftung darstellt. 
Im Folgenden wird die Haftungsfrage 
am Beispiel einer Verursachung eines 
Unfalls bei Einsatz eines autonom fah- 
renden Autos thematisiert. 

Die Haftungsfrage hat der Gesetzgeber 
2017 durch eine Änderung des StVG zu 
regeln versucht. Es wurde zwar das Sys- 
tem der konkurrierenden Fahrer-, Hal- 
ter- und Herstellerhaftung nach 88 18, 
7 StVG bzw. Produkthaftungsgesetz 
(ProdHaftG) beibehalten, die Gewich- 
tung hat sich jedoch signifikant ver- 
schoben. Zu berücksichtigen ist auch, 
dass das neue System, welches insbe- 
sonderein den neuen 88 1a und 1b StVG 
Niederschlag gefunden hat, bisher nur 
für das automatisierte bzw. hochau- 
tomatisierte Fahren gilt, während das 
vollständige automatisierte Fahren wei- 
terhin nicht zugelassen ist und folglich 
keine Regelungen hierfür existieren. 

Während die Halterhaftung bis auf 
eine Veränderung in der Höchstsumme 
unverändert bleibt, bestehen für den 
Hersteller gewisse Pflichten, die als 
Definition „getarnt“ ing 1aAbs.2S.1 
StVG die wesentlichen Anforderungen 
an ein autonomes System statuieren, 
damit es nicht als fehlerhaft i.S.d. Pro- 
dukthaftungsrechts gilt. So muss das 
autonome System zur Fahrzeugsteue- 
rung fähig sein, während der automati- 
sierten Fahrzeugsteuerung den gelten- 
den Verkehrsvorschriften gerecht wer- 
den können, durch den Fahrzeugführer 
manuell übersteuerbar oder deaktivier- 
bar sein, die Erforderlichkeit einer ei- 
genhändigen Fahrzeugsteuerung durch 
den Fahrer detektieren können, zur 
Anzeige des Erfordernisses einer eigen- 
händigen Fahrzeugsteuerung fähig sein 
und auf eine der Systembeschreibung 
zuwiderlaufenden Verwendung hinwei- 
sen können. Mangelt es an einer dieser 
Voraussetzungen, so besteht grund- 
sätzlich ein Produkthaftungsanspruch. 
Zu berücksichtigen ist an dieser Stelle 
jedoch, dass der entsprechende Fehler 
bereits bei Inverkehrbringung (regel- 


mäßig also bei der Zulassung) vorgele- 
gen haben muss. Dies wird in der Regel 
aufgrund der damit verbundenen Be- 
weisschwierigkeiten dazu führen, dass 
der Geschädigte diesen Weg nur schwer 
gehen kann. 

Die Haftung des Fahrers mit den in 
&1b Abs. 2 StVG konkretisierten Ver- 
haltensanforderungen orientiert sich 
an den Pflichten des Herstellers. So 
darf der Fahrer sich zwar vom Ver- 
kehr abwenden, muss jedoch jederzeit 
wahrnehmungsbereit bleiben. Er muss 
Warnungen des Systems sofort Folge 
leisten und bei Bedarf die Führung des 
Fahrzeuges übernehmen. Für den Fall, 
dass eine frühzeitige Warnung des auto- 
nomen Systems aufgrund eines Fehlers 
vorlag, der Fahrer jedoch trotz der Auf- 
forderung eines Eingriffes nicht reagiert 
hat und ein Unfall verursacht wurde, so 
haftet aufgrund der fehlenden Fehler- 
kausalität allein der Fahrer. 


Fazit 


Das Themenfeld der künstlichen Intel- 
ligenz bedarf dringend regulatorischer 
Klarstellungen durch den Gesetzgeber. 
Denn KI existiert bereits und profitiert 
nicht von den derzeitigen ethischen, 
politischen und rechtlichen Debatten, 
die in abstrakten Sphären schweben an- 
statt konkrete Handlungsanweisungen 
für die Konzeption von KI-Systemen zu 
liefern. Untätigkeit vonseiten derPolitik 
gefährdet durch eine unklare Rechtsla- 
ge den technologischen Fortschritt. Die 
Bundesregierung hat in ihrer KI-Strate- 
gie zwar das Potenzial künstlicher Intel- 
ligenz erkannt und erste Schritte in die 
richtige Richtung unternommen, bis zu 
einer wettbewerbsfähigen „AI made in 
Germany“ ist es jedoch noch ein wei- 
ter Weg. Die DSGVO hält entsprechende 
Vehikel zur Aufstellung datenschutz- 
rechtlicher KI-Grundregeln bereit, die 
durch die entsprechenden Organe auch 
genutzt werden sollten. So bieten sich 
insbesondere die Aufstellung von Ver- 
haltensregeln gem. Art. 40 DSGVO oder 
Stellungnahmen bzw. Leitlinien des 
Datenschutzausschusses nach Art. 70 
DSGVO an. Angesichts des bisher noch 
lückenhaften regulatorischen Rahmens 
bleibt es spannend, wie der Einsatz von 
künstlicher Intelligenz im Mobilitäts- 
sektor in der Zukunft geregelt wird. 
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Thilo Weichert 


Tesla - Überwachungsmobil und Datenschleuder 


Am 17.09.2020 berichtete das ARD- 
Magazin Kontraste über Datenschutz- 
verstöße durch Tesla, den US-amerika- 
nischen Hersteller von Autos mit Elekt- 
roantrieb, die autonom oder zumindest 
halbautomatisiert auf Straßen unter- 
wegs sein können. Am Tag darauf wurde 
Tesla in Bielefeld der BigBrotherAward, 
der Negativpreis für „Datenkraken“, in 
der Kategorie Mobilität verliehen. Damit 
steht ein Unternehmen in der Kritik, das 
ansonsten positiv im Fokus der Öffent- 
lichkeit steht: wegen seiner Innovations- 
kraft, der angeblichen Klimaneutralität 
seiner Produkte oder der Schaffung von 
Arbeitsplätzen im brandenburgischen 
Grünheide. 


I. Digitalisierte Individualmobilität 


In der Automobilwirtschaft erfolgt 
derzeit ein grundlegender Wandel. Das 
Kraftfahrzeug (Kfz) war bisher ein weit- 
gehend analog funktionierendes Ver- 
kehrsmittel mit Verbrennungsmotor. 
Die Klimakrise zwingt dazu, alternative 
Energieformen zu nutzen; am weites- 
ten fortgeschritten ist der Elektromo- 
tor. Parallel dazu findet eine Digitali- 
sierung in und um das Auto statt, mit 
der die Sicherheit und der Komfort bei 
der Nutzung erhöht werden sollen. Die 
Sicherheit wird u.a. verbessert durch 
Assistenzsysteme, mit denen das Spur- 
und Bremsverhalten beeinflusst wer- 
den, durch automatisch auslösende 
Airbags oder eCall-Systeme, mit denen 
die Folgen von Unfällen gemildert wer- 
den sollen.! Beim Tesla Modell 3 gibt es 
u.a. einen Spurhalteassistenten, einen 
Tempomat mit Abstandregelung, auto- 
matische Notbremsung, Warnung vor 
vorderen Kollisionen und Seitenauf- 
prall.” Der Komfortgewinn erfolgt über 
Navigationssysteme, die den Weg zum 
Ziel leiten, über individuelle Standard- 
einstellungen für den Fahrer bis hin 
zu elektronischen Unterhaltungs- und 
Serviceangeboten. Einparken wird zum 
Kinderspiel.’ Solche Angebote erleich- 
tern das Führen von Kfz mit der - noch 
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vagen - Aussicht, dass künftig die Au- 
tos ohne nötige Intervention des Fah- 
rers autonom ans Ziel kommen. Über 
„Homelinks” können selbst Aktivitäten 
zu Hause beim Halter, z.B. das Öffnen 
des Garagentors, ausgelöst werden.‘ 

Die deutsche Automobilwirtschaft 
hat diese Entwicklungen zunächst ver- 
schlafen und versucht nun ihren Inno- 
vationsrückstand aufzuholen. Unter- 
nehmen aus den USA und China geben 
mit mehr Patenten und attraktiven Pro- 
dukten auf dem neuen Markt den Ton 
an. Informationstechnik-(IT-)Unter- 
nehmen, die mit Internetgeschäften ihr 
Kapital angehäuft haben, drängen auch 
auf diesen Markt. Die informationstech- 
nische Ausstattung des Kfz gewinnt für 
die Kaufentscheidung eine zunehmen- 
de Bedeutung. 

Datenschutz spielt bisher in der öf- 
fentlichen Diskussion über die eMobili- 
tät eine untergeordnete Rolle. Die ana- 
loge Mobilität war weitgehend anonym. 
Die Digitalisierung lässt nun personen- 
bezogene Daten anfallen; die Verkehrs- 
teilnehmer werden erfasst, gespeichert 
und ausgewertet. Diese mobilitätsbe- 
dingt anfallenden Daten haben ökono- 
misch einen Wert. Ihre Bestimmung ist 
es - wie schon bisher die der Internet- 
nutzungsdaten - das „Öl des 21. Jahr- 
hunderts” zu werden. Wer die Daten 
hat, hat die Kontrolle über die mobilen 
Menschen und die Grundlage für völlig 
neue Geschäftsmodelle. 


II. Smartmobile auf vier Rädern 


Im US-Unternehmen Tesla bündeln 
sich diese Entwicklungen wie in einem 
Brennglas: Es tritt mit seinen hochdigi- 
talisierten Elektroautos gegen die noch 
stark konventionell ausgerichtete deut- 
sche Autoindustrie an und erfasst seine 
Kunden sowie die Verkehrsteilnehmer 
generell. Die Verleihung des BigBrother- 
Awards (BBA) an das Unternehmen weist 
auf eine neue Gefahr für den Datenschutz 
hin die es sich zu analysieren lohnt. An- 
knüpfungsobjekt der BBA-Verleihung 


ist das Tesla Modell 3, das auch in Kürze 
im brandenburgischen Grünheide pro- 
duziert werden soll. 

Zitat aus der Laudatio’: Eine zentrale 
Funktion der Tesla-Autos ist die Video- 
und Ultraschallüberwachung sowohl 
im Fahr- als auch im Parkmodus: „Acht 
Kameras gewähren eine 360-Grad- 
Rundumüberwachung der Fahrzeugum- 
gebung in bis zu 250 Meter Entfernung. 
Ergänzt werden sie durch zwölf aktuali- 
sierte Ultraschallsensoren.” 

Diese Sensoren dienen der Fahreras- 
sistenz und der „Autopilot“-Funktion, 
also dem halbautonomen Fahren. Sie 
dienen auch als Ergänzung der Dash- 
cams, um bei Unfällen im Nachhinein 
Informationen auszulesen. Unabhängig 
von einem Unfall lassen sich per Knopf- 
druck jeweils die letzten 10 Minuten 
abspeichern. Und über die USB-Schnitt- 
stelle können die einlaufenden Daten 
dauernd ausgelesen und ausgewertet 
werden. 

Schaltet man die Kameras in den seit 
2019 verfügbaren „Wächtermodus”, 
den „Sentry-Mode”, erfassen sie zu- 
dem dauernd die Umgebung. Bemerkt 
eine Kamera eine auffällige Bewegung, 
leuchtet auf dem Bildschirm ein roter 
Punkt auf und es erfolgt eine Aufzeich- 
nung. Dafür genügt es, dass eine Person 
nahe am Auto vorbeigeht oder ein ande- 
res Auto nahe vorbeifährt. Auf Youtube 
können Hunderte solcher Clips besich- 
tigt werden. Bei einer Erschütterung 
oder einem Eindringen ins Fahrzeug 
wird auf einem Smartphone Alarm ge- 
schlagen und auf Wunsch dreht vor Ort 
die Stereoanlage automatisch voll auf. 

Was mit der Technik möglich ist, 
zeigte der Sicherheitsforscher Truman 
Kain, der mit wenig Aufwand einen 
„Surveillance Detection Scout” bastel- 
te, einen Minicomputer, den er mit der 
USB-Schnittstelle von Tesla-Fahrzeugen 
verbunden hat. Damit konnte er sämtli- 
che Kameras im laufenden Betrieb aus- 
werten, Kfz-Kennzeichen erfassen und 
sogar Gesichtserkennung durchführen. 
Registriert der Scout z.B. wiederholt 
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das gleiche Kennzeichen, so sendet er 
automatisch eine Benachrichtigung an 
das Handy des Halters sowie auf den Au- 
tobildschirm: „Ein Auto verfolgt dich“. 

Eine weitere Kamera befindet sich in 
den Tesla-Modellen 3 und Y im Innen- 
raum, oberhalb des zentralen Rückspie- 
gels. Sie ist auf die Fahrzeuginsassen 
gerichtet. Der Tesla-Chef Elon Musk 
rechtfertigte in einem Video diese Ka- 
mera damit, dass seine Autos für Fahr- 
tenvermittlungen oder als selbstfahren- 
de Taxis genutzt werden sollen. Über 
die Innenkamera könnten Dritte bei 
Beschädigungen und Verschmutzungen 
zur Verantwortung gezogen werden. 

Musk ist damit längst nicht am Ende 
seiner Überwachungsphantasien. Per 
Twitter teilte er mit, untermalt von 
Musik, dass seine Firma an einem Fea- 
ture arbeitet, das Tesla-Modelle mit 
Passanten sprechen lässt. In einem 
Video spricht dann ein „Model 3” ei- 
nen Fußgänger an: „Steh nicht nur 
herum und starr mich an - steig ein.” 
Musk erklärt dazu: „Teslas werden bald 
mit Menschen sprechen, wenn ihr das 
wollt. Das ist real.“ Nicht mehr lange, 
und diese geparkten Autos mischen 
sich ungebeten in Gespräche ein, wenn 
wir uns bei einem Spaziergang in Ruhe 
unterhalten wollen. 

Was mit den durch die Autos erhobe- 
nen Daten passiert, müsste aus den All- 
gemeinen Geschäftsbedingungen (AGB) 
von Tesla abzulesen sein, mit denen 
eigentlich auch den datenschutzrecht- 
lichen Informationsanforderungen ge- 
mäß Art. 12 ff. DSGVO genügt werden 
müsste. Dort heißt es: 

Wir erfassen möglicherweise auf un- 
terschiedlichen Wegen Informationen 
von Ihnen oder über Sie (beispielsweise 
Name, Adresse, Telefonnummer, E-Mail, 
Zahlungsinformationen, Führerschein- 
oder andere behördliche Ausweisinfor- 
mationen) oder Ihre Geräte.° 

Hinter den „Geräten“ verbergen sich 
PC, Smartphone, aber insbesondere „Ihr 
Tesla-Fahrzeug”. Über dieses werden 
„lelematikprotokolldaten“, „Fernana- 
lysedaten“, „Fahrsicherheits-Analyse- 
date“, „Wartungshistorie”, „Ladevor- 
gangsinformationen“, „Autopilot-In- 
formationen”, „Erweiterte Funktionen“, 
wozu „Navigationsdaten” sowie „kurze 
Videoaufnahmen von den Außenkame- 
ras des Fahrzeugs” gehören, erfasst.’ 
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Eine Analyse des vom Tesla aus erfol- 
genden Datentransfers ergab, dass eine 
teilweise stundenlange Datenübertra- 
gung auf Server an der US-amerikani- 
schen Westküste erfolgt. Dabei wird 
eine WLAN-Verbindung genutzt. Wel- 
chen Inhalt die per WLAN übertrage- 
nen Daten haben, blieb unklar, da die 
Datenpakete verschlüsselt übermittelt 
werden.° 

Dazu erklären die AGB: Mit der Nut- 
zung unserer Produkte oder Dienst- 
leistungen ... erklären Sie sich mit der 
Übermittlung von Informationen von 
Ihnen, über Sie oder über Ihre Nutzung 
... in Länder außerhalb Ihres Wohnsitz- 
landes, einschließlich der USA, einver- 
standen.’ 

Angeblich werden bei Tesla in den 
USA die Daten umgehend weitgehend 
anonymisiert, wobei dies angesichts der 
Datendichte und der Einzelzuordnungs- 
möglichkeiten zu einem Kfz allenfalls 
eine Pseudonymisierung im Sinne des 
europäischen Rechts sein kann. Das Un- 
ternehmen speichert in jedem Fall die 
Fahrzeug-Identifizierungsnummer (FIN) 
mit: Wir erfassen Informationen darüber 
hinaus in einer Form, die für sich genom- 
men keine direkte Verbindung mit einer 
bestimmten Person zulässt. Wir können 
nicht persönlich identifizierbare Daten 
für jeden Zweck sammeln, verwenden, 
übertragen und offenlegen. Wenn wir 
nicht persönlich identifizierbare Daten 
mit Ihren personenbezogenen Daten 
kombinieren, werden die kombinierten 
Informationen als personenbezogene In- 
formationen behandelt, solange sie kom- 
biniert bleiben." 

Zur Aufbewahrungsdauer der perso- 
nenbeziehbaren Daten gibt Tesla keine 
verbindlichen Auskünfte. Vielmehr er- 
klärt es, die Daten so lange aufzube- 
wahren, „wie es erforderlich ist”, „es sei 
denn eine längere Aufbewahrungsfrist 
ist rechtlich zulässig oder vorgeschrie- 
ben“.!! Für den Fall des Kfz-Weiterver- 
kaufs ermöglicht die Technik eine Da- 
tenlöschung, aber nur „im Auto“; bei 
Tesla bleiben die Daten gespeichert. '? 


III. Datenübermittlungen und 
-nutzungen 


Hinsichtlich der Datenübermittlung 
an Dritte scheint Tesla sehr restriktiv zu 
sein. Für die wertvollen Daten möchte 


sich Tesla das ausschließliche Nutzungs- 
recht bewahren und gibt Daten nur an 
„Dienstleister und Geschäftspartner” 
weiter sowie an „gesetzlich vorgeschrie- 
bene Dritte”. Über die Einbindung von 
externen Applikationen in die Autosoft- 
ware ist wenig bekannt. Beim Naviga- 
tionssystem erfolgt bisher (noch) eine 
Nutzung von Google Maps.'* Tesla will 
sich aber von diesem Dienst freimachen, 
offenbar, um zu verhindern, dass die Lo- 
kalisierungsdaten weiter von dem Dritt- 
unternehmen - das zugleich Konkurrent 
ist - genutzt werden können. Eine Eigen- 
vermarktung der Daten schließt Tesla 
nicht aus. Das Unternehmen sucht viel- 
mehr Geschäftsmodelle, über welche mit 
den erfassten Daten zusätzliches Geld 
verdient werden kann. 

Sollen mit den Daten von Tesla Unfälle 
oder Rechtsverstöße aufgeklärt werden, 
so gibt das Unternehmen diese auf An- 
forderung an die Polizei weiter: So war 
in einem Fall durch die Aufnahmen der 
Tesla-Seitenkameras erkennbar gewe- 
sen, dass ein „Unfallverursacher log 
und schon vor dem Unfall rücksichts- 
los und mit erhöhter Geschwindigkeit 
auf der rechten Spur überholt hatte”. 
Gemäß einem anderen Pressebericht 
war im September 2018 in Berlin ein 
Tesla in einer 80er-Zone mit 197 km/h 
geblitzt worden. Per Gerichtsbeschluss 
sei darauf Tesla aufgefordert worden, 
die gespeicherten Daten herauszuge- 
ben: „Das Ergebnis: Der Tesla hatte im 
Sekundentakt Position und Tempo an 
die Zentrale gefunkt. Die Polizei konnte 
so die gesamte Tour rekonstruieren und 
herausfinden, dass der Fahrer auf der 
tempobegrenzten Stadtautobahn bis zu 
209 km/h schnell unterwegs war.”'° 


IV. Verbraucherrecht 


In den AGB behält sich Tesla die ei- 
genmächtige Änderung der Geschäfts- 
bedingungen vor: Änderungen dieser 
Datenschutzrichtlinie werden wirksam, 
sobald wir die überarbeitete Daten- 
schutzrichtlinie über die Dienstleistun- 
gen veröffentlichen. Durch die Nutzung 
unserer Produkte oder Dienstleistungen 
oder dadurch, dass Sie uns auf andere 
Weise Informationen nach diesen Ände- 
rungen zur Verfügung stellen, nehmen 
Sie die überarbeitete Datenschutzricht- 
linie an.'’ Eine vorangehende Informa- 
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tion der Kunden wird nicht zugesichert. 
Tatsächlich kann festgestellt werden, 
dass solche Änderungen erfolgen. Tesla 
hält es - entgegen den Zusagen in den 
AGB an anderer Stelle - nicht einmal 
für nötig den Zeitpunkt der Veröffent- 
lichung der aktuellen AGB-Version be- 
kanntzugeben. Durch das Fehlen einer 
Datumsangabe ist es dem Nutzer nicht 
möglich festzustellen, seit wann die 
Regelung gilt. Es ist ihm auch nicht 
möglich diese mit evtl. zum Vertrags- 
abschlusszeitpunkt geltenden AGB zu 
vergleichen. Damit verstößt Tesla gegen 
das sich aus 8 307 Abs. 15. 2 BGB ablei- 
tende Transparenzgebot."® 

Ein weiterer Verstoß gegen das Trans- 
parenzgebot besteht darin, dass die 
AGB nicht in ihrer Gesamtheit aufrufbar 
sind. Vielmehr enthalten sie in einigen 
relevanten Bereichen nur thematische 
Beschreibungen. Für den Aufruf der 
Erläuterungen bedarf es jeweils eines 
weiteren Klicks. Gemäß & 312i Abs. 1 
Nr. 4 BGB ist der Verwender im elektro- 
nischen Geschäftsverkehr verpflichtet 
AGB jederzeit abrufbar zu halten und zu 
ermöglichen, dass sie in einer wiederga- 
befähigen Form abgespeichert werden 
können. Das Abrufen und vollständige 
Abspeichern verursacht bei den Tesla- 
AGB einen Aufwand, der von einem 
durchschnittlichen Kunden nicht ver- 
langt werden kann. 

Gemäß 8 307 Abs. 1, 2 Nr. 1 BGB sind 
AGB unwirksam, wenn Bestimmungen 
„mit wesentlichen Grundgedanken der 
gesetzlichen Regelung, von der abgewi- 
chen wird, nicht zu vereinbaren” sind. 
Gesetzliche Regelungen in diesem Sinne 
sind auch solche des Datenschutzrechts. 
Für die Beurteilung der Wirksamkeit 
gilt in Umkehrung zu 8 305c Abs. 2 BGB 
der Grundsatz der kundenfeindlichsten 
Auslegung." Im Sinne des Verbraucher- 
schutzes muss angenommen werden, 
dass ein Unternehmen alles, was es in 
seinen AGB erklärt, auch zutun gedenkt. 

Zudem gilt bei den AGB gemäß 8 307 
Abs. 15. 2 BGB das Verständlichkeits- 
gebot. Der Kunde muss ohne weitere 
Kenntnisse und Recherchen erkennen 
können, welche Rechte und Pflichten 
bei Vertragsschluss auf ihn zukom- 
men.?° Damit korrespondieren die ver- 
braucherrechtlichen Anforderungen 
mit den Transparenzanforderungen, de- 
nen Tesla nicht im Ansatz genügt. 
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V. Anwendbarkeit des Datenschutz- 
rechts 


Bei der Lektüre der AGB von Tesla 
überrascht, dass dort an keiner Stel- 
le die in der Europäischen Union (EU) 
anwendbare Datenschutz-Grundver- 
ordnung (DSGVO) erwähnt wird. Dies 
erklärt sich damit, dass Tesla offenbar 
vermeiden wollte, Extraregeln für die EU 
festzulegen. Bei den AGB dürfte es sich 
so um weltweit geltende, ins Deutsche 
übersetzte Regeln handeln, bei denen 
kein Unterschied gemacht wird, ob das 
Auto in einem Rechtsstaat unterwegs 
ist oder nicht. Dennoch behauptet Tesla 
in öffentlichen Äußerungen die Regeln 
der DSGVO zu beachten ohne dies näher 
zu begründen: Unsere Datenverarbei- 
tungsaktivitäten obliegen der notwen- 
digen Rechtsgrundlage im Einklang mit 
der DSGVO.?' Eine nähere Betrachtung 
ergibt jedoch, dass dem nicht so ist. 

Dies zeigt sich schon bei Teslas Aus- 
führungen zur datenschutzrechtlichen 
Verantwortlichkeit. Zwar erklärt sich 
das Unternehmen zunächst verantwort- 
lich für die im Auto und aus dem Auto 
heraus vorgenommene Datenverarbei- 
tung: Wenn Sie im EWR, in Großbritan- 
nien oder in der Schweiz ansässig sind, 
ist Tesla International B.V. für die Ver- 
arbeitung Ihrer personenbezogenen 
Informationen verantwortlich. Offen- 
bar unterstellt das Unternehmen, dass 
Tesla-Kunden so gebildet sind, dass 
diese wissen, dass „EWR” Europäischer 
Wirtschaftsraum” bedeutet und dass 
hierzu sämtliche Mitgliedstaaten der 
EU gehören. Doch bleiben die Kunden 
im Dunkeln, wer sich hinter der „Tesla 
International B.V.“ verbirgt. Erst eine 
tiefere Recherche ergibt dann mögli- 
cherweise, dass es sich hierbei um eine 
Tesla-Niederlassung in Amsterdam/Nie- 
derlande handelt. 

Nicht nur intransparent, sondern 
falsch wird es, wenn bzgl. der Dashcams 
von Tesla behauptet wird, für deren Bil- 
der sei ausschließlich der Tesla-Kunde 
verantwortlich. Er ist ja über eine USB- 
Schnittstelle in der Lage diese Bilder 
auszuleiten, abzuspeichern und auszu- 
werten. Die Kundenverantwortlichkeit 
besteht danach, es sei denn, das lokale 
Gesetz verbietet generell den Verkauf 
von Dash-Cams oder überträgt auf an- 
dere Weise die Verantwortung auf den 


Verkäufer.” Tesla setzt damit Rechts- 
kenntnisse bei Kunden voraus, die die- 
ser regelmäßig nicht hat. 

Nach der neueren Rechtsprechung 
des EuGH kann zudem Tesla nicht leug- 
nen, dass dem Unternehmen auch in- 
sofern regelmäßig eine „gemeinsame 
Verantwortlichkeit” mit dem Kfz-Halter 
zukommt.” Und diese gemeinsame Ver- 
antwortlichkeit geht über den Dashcam- 
bzw. Wächtermodus-Einsatz hinaus und 
betrifft sämtliche Daten, die nicht über 
den Halter selbst, sondern in identifi- 
zierbarer Form über Dritte verarbeitet 
werden, etwa über andere Fahrer und 
Verkehrsteilnehmer. Negiert Tesla damit 
überhaupt eine „gemeinsame Verant- 
wortlichkeit”, so ignoriert das Unterneh- 
men konsequenterweise auch die recht- 
lichen Anforderungen des Art. 26 DSGVO, 
wonach mit dem mitverantwortlichen 
Halter eine Vereinbarung abgeschlossen 
werden muss, die das Nähere zur gemein- 
samen Verantwortung regelt. 


VI. Rechtmäßigkeit 


Allzu leicht macht es sich Tesla auch 
mit der Benennung der anzuwenden- 
den Rechtsgrundlagen: Wir können 
uns für die Erhebung, Nutzung und 
anderweitige Verarbeitung Ihrer In- 
formationen auf verschiedene Rechts- 
grundlagen berufen, einschließlich: Sie 
haben Ihre Einwilligung gegeben; die 
Informationen sind für die Erfüllung 
des Vertrags mit Ihnen erforderlich; 
die Verarbeitung ist zur Erfüllung einer 
rechtlichen Verpflichtung erforderlich; 
die Verarbeitung ist erforderlich, um 
Ihre lebenswichtigen Interessen oder 
die einer anderen natürlichen Person 
zu schützen; oder für die Wahrung ei- 
nes berechtigten Interesses, das ge- 
gen Ihre Interessen, Grundrechte- und 
Grundfreiheiten abgewogen wird. Diese 
berechtigten Interessen können Teslas 
Interesse an der Verbesserung eigener 
Produkte oder Dienstleistungen, der 
Erhöhung von Sicherheit, dem Schutz 
von Tesla oder Teslas Geschäftspartnern 
gegen unrechtmäßiges Verhalten und 
die Beantwortung von Kundenanfragen 
oder Beschwerden beinhalten. Wir wer- 
den Sie gegebenenfalls informieren, ob 
und aus welchem Grund wir gewisse In- 
formationen von Ihnen benötigen, bei- 
spielsweise, ob wir diese Informationen 


229 
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für die Erfüllung einer rechtlichen oder 
vertraglichen Verpflichtung benötigen 
und was die Folgen sind, wenn diese 
Informationen nicht zur Verfügung ge- 
stellt werden. 

Die Allerweltsaussage in den AGB 
genügt nicht den Anforderungen der 
Art. 13 und 14 Abs. 1 lit. c DSGVO, wo- 
nach der Betroffene über die jeweilige 
Rechtsgrundlage zu informieren ist. 
Die Wiedergabe aller möglichen Rechts- 
grundlagen, wie sie in Art. 6 Abs. 1 
UAbs. 1 DSGVO aufgeführt sind, genügt 
der Transparenzpflicht nicht, die dem 
Betroffenen im Einzelfall die Überprü- 
fung ermöglichen soll, ob sich die je- 
weilige Verarbeitung im Rahmen einer 
Einwilligung, der Erforderlichkeit des 
Vertrags oder einer angemessenen Inte- 
ressenabwägung bewegt. 

Unzulässig ist bei Tesla-Fahrzeugen 
in jedem Fall die hierdurch erfolgende 
Dauerüberwachung der Fahrzeugum- 
gebung im öffentlichen Raum. Wenn 
Menschen gefilmt und deren Daten auf- 
gezeichnet werden, die nur an einem 
Auto vorbei gehen, ohne dass sie sich 
konkret verdächtig machen, ist dies 
klassische illegale Vorratsdatenspeiche- 
rung. Im öffentlichen Raum rund um ein 
Tesla-Fahrzeug wird gefilmt und mögli- 
cherweise identifiziert, je nachdem, 
welche Technik im Auto aktiv ist.’* Die 
Betroffenen wissen nicht, was davon 
das Auto gerade tut.” Es erfolgt keine 
Information der Betroffenen (Art. 13, 
14 DSGVO). Die Erforderlichkeit dieser 
Vollerfassung für konkrete Zwecke ist 
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nicht gegeben. Es sind keine Schutz- 
maßnahmen erkennbar, mit denen die 
Rechte der Betroffenen hinreichend ge- 
wahrt würden. 

Diese Aussagen gelten in besonderem 
Maße für den sog. „Wächtermodus”. 
Dieser zielt vorrangig ab aufeine Daten- 
erhebung über Dritte, die völlig unbe- 
teiligte Verkehrsteilnehmer sind, ohne 
dass präzise Zwecke festgelegt werden 
und hinreichende Vorkehrungen für die 
Betroffenen bestünden. 

Eindeutig unzulässig sind auch die 
Datenübermittlungen in die USA. Für 
diese beruft sich das Unternehmen auf 
die Anwendung des Privacy Shields.”® 
Mit Urteil vom 16.07.2020 hat der 
EuGH festgestellt, dass ab sofort das 
Privacy Shield keine gültige Rechts- 
grundlage für eine Datenübermittlung 
in die USA ist.?” Soweit sich Tesla auf 
Standarddatenschutzklauseln beruft, 
wird im gleichen Urteil festgestellt, 
dass diese allein eine Datenübermitt- 
lung z.B. in die USA nicht legitimieren 
können. Vielmehr ist es nötig, dass der 
Verantwortliche zusätzliche Maßnah- 
men ergreift, um die Einhaltung eines 
angemessenen Schutzniveaus zu ge- 
währleisten. Dies ist insbesondere bei 
Übermittlungen in die USA nötig, da 
dort Regelungen gelten, die eine Mas- 
senüberwachung zulassen und es dort 
weder eine unabhängige Datenschutz- 
aufsicht noch einen hinreichenden 
Rechtsschutz gibt.’® Derart zwingend 
geforderte Schutzmaßnahmen hat Tes- 
la nicht vorgesehen. 


Tesla beruft sich zudem auf die Ein- 
willigung der Betroffenen für die Da- 
tenübermittlung in Drittländer ohne 
angemessenes Datenschutzniveau. Eine 
solche Legitimation wäre nach Art. 49 
Abs. 1lit.aDSGVO aber nurim Ausnahme- 
und Einzelfall zulässig, wenn zugleich 
auf die besonderen Übermittlungsrisiken 
explizit hingewiesen wird. Davon kann 
bei Tesla aber keine Rede sein. 


VII. Ergebnis 


Aus den obigen Ausführungen ergibt 
sich, dass die Datenverarbeitung durch 
Tesla in vieler Hinsicht gegen die Vor- 
gaben des europäischen Datenschutzes 
und des Verbraucherschutzes verstößt: 
« Tesla benennt für die jeweilige Da- 
tenverarbeitung keine präzisen Zwe- 
cke und verstößt damit gegen Art. 5 
Abs. 1lit. b DSGVO. 

Tesla gibt nicht an, aufwelcher Rechts- 
grundlage gemäß Art. 6 Abs. 1 UAbs. 1 
DSGVO die jeweils von ihr vorgenom- 
mene Datenverarbeitung basiert. 

Tesla genügt nicht den Anforderun- 
gen an die Datenminimierung und die 
Erforderlichkeit bei der Datenverar- 
beitung gemäß Art. 5 Abs. 1lit. c, 6 
Abs. 1, 25, 32 DSGVO. 

Tesla ist insbesondere mitverantwort- 
lich für die nicht erforderliche umfas- 
sende und uneingeschränkte Video- 
überwachung und die darauffolgende 
Verarbeitung sowohl im Fahr- als auch 
im Parkmodus, wenn der Wächtermo- 
dus eingeschaltet ist. 
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Tesla benennt nicht die von dem Un- 
ternehmen vorgenommene Datenver- 
arbeitung und informiert nicht über 
die Betroffenenrechte in einer hinrei- 
chend „präzisen, transparenten, ver- 
ständlichen und leicht zugänglichen 
Form in einer klaren und einfachen 
Sprache” und verstößt damit gegen 
Art. 12 Abs. 1 DSGVO. 

Tesla genügt nicht seiner Informati- 
onspflicht nach den Art. 13, 14 DS- 
GVO, indem es unterlässt über folgen- 
de Angaben präzise Informationen 
zu geben: Zwecke, Rechtsgrundlage, 
berechtigtes Interesse, fehlende An- 
gemessenheit im Empfängerland, 
Speicherdauer. 

Tesla übermittelt unter Verstoß gegen 
die Art. 44 ff. DSGVO Daten in die USA 
sowie evtl. in weitere Staaten ohne 
angemessenes Datenschutzniveau. 
Tesla ignoriert die eigene daten- 
schutzrechtliche Verantwortlichkeit 
beim „Wächtermodus” und schließt 
mit den Kfz-Haltern keine nach Art. 26 
DSGVO geforderte Vereinbarung ab. 
Die AGB von Tesla verstoßen sowohl 
in formeller als auch in inhaltlicher 
Hinsicht gegen die Vorgaben der 
88 305 ff. BGB. 


Dieses aus datenschutzrechtlicher 


Sicht vernichtende Urteil hat nun aber 
leider nicht zur Folge, dass den Tesla- 
Fahrzeugen die Typenzulassung gemäß 
der Straßenverkehrszulassungsordnung 
entzogen wird. Datenschutz spielt dabei 
(bisher noch) keine Rolle, obwohl mit 
der Kfz-Digitalisierung die Anforderun- 
gen an die Sicherheit im Straßenverkehr 
und an den Datenschutz immer mehr 
zusammenfließen. 


Gefordert sind angesichts der Rechts- 


verstöße zunächst die Datenschutzbe- 
hörden, die aber anlässlich der aktuel- 
len Berichterstattung schon durchbli- 
cken ließen, dass sie sich derzeit mit 
der Durchsetzung des Datenschutzes 
gegenüber einem Player wie Tesla über- 
fordert fühlen.?” Verbraucherschutzor- 
ganisationen könnten über eine Ver- 
bandsklage nach dem Unterlassungs- 
klagegesetz (Art. 80 Abs. 2 DSGVO) um- 
gehend gegen Datenverarbeitung von 
Tesla und die von dem Unternehmen 
verwendeten AGB vorgehen. Gefordert 
ist auch die Politik, der nicht nur Elek- 
tromobilität und Arbeitsplätze, sondern 
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auch der Datenschutz ein Anliegen sein 
sollte. Letztlich sollte es sich jeder Ver- 
braucher genau überlegen, ob er in ei- 
nem Überwachungsgefährt und einer 
Datenschleuder unterwegs sein möchte, 
die sein gesamtes Mobilitätsverhalten 
und das seines Umfelds erfasst und teil- 
weise in die USA übermittelt, wo dann 
bei Bedarf US-Geheimdienste auf diese 
Daten zugreifen können. 
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DANA-Interview (HA) mit Joachim Schwarz (JS) und Silke Weitkamp (SW) von der 
cambio Mobilitätsservice GmbH & Co KG 


Carsharing als Firewall zu den PKW-Herstellern? 


HA: Herr Schwarz, Sie sind der Ge- 
schäftsführer für den Bereich Technik 
und Finanzen und Frau Weitkamp, 
Sie sind die Datenschutzkoordina- 
torin der cambio Mobilitätsservice 
GmbH & Co. KG, der Muttergesellschaft 
einer großen Gruppe von Dienstleis- 
tungsunternehmen für das stations- 
basierte CarSharing. Die auf Ihrer 
Webseite veröffentlichten Datenschut- 
zerklärungen erscheinen übersicht- 
lich gegliedert und verständlich. Da- 
rüberhinausgehend haben wir noch 
einige Fragen: 

Die KG bietet den cambio-Mandan- 
ten, so stehtes aufderWebseite, „in ei- 
nem franchiseähnlichen Angebot [...] 
alle zentralen Dienstleistungen”. Wie 
stellen Sie konkret die Einhaltung der 
Datenschutzbestimmungen sicher? 


SW: Wenn wir über Datenschutz bei 
cambio sprechen, betrachten wir ver- 
schiedene Ebenen. Auf technischer 
Ebene setzen wir Datenschutz in der 
Software-Entwicklung für unsere eigene 
CarSharing-Software, bei der Auswahl 
von Fremd-Software und bei der Kon- 
zeptionierung von Datenübertragungs- 
wegen um. Dadurch, dass wir die cambio 
CarSharing-Software selber entwickeln, 
haben wir maximale Kontrolle darüber, 
wie Daten verarbeitet werden. 

Auf der Ebene von organisatorischen 
Maßnahmen zum Datenschutz haben 
wir in den letzten Jahren gelernt, dass 
es sinnvoll ist, neben unserem externen 
Datenschutzbeauftragten zusätzlich 
eine cambio-weite Datenschutzkoor- 
dination und Ansprechpersonen für 
Datenschutz in jedem einzelnen cam- 
bio-Unternehmen vor Ort zu haben. So 
sorgen wir durch ständige Abstimmung 
mit allen cambio-Unternehmen und 
durch regelmäßige Sensibilisierung 
auf allen Hierarchieebenen dafür, dass 
Datenschutz-Maßnahmen cambio-weit 
umgesetzt werden. Mittlerweile ist Da- 
tenschutz ein selbstverständlicher Teil 
der Abstimmungen zu jedem Thema. 
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HA: Wie können wir uns die Rol- 
lenverteilung und Zusammenarbeit 
zwischen dem externen Datenschutz- 
beauftragten und der Datenschutzko- 
ordination bei cambio vorstellen? 


SW: Unser externer Datenschutzbe- 
auftragter ist für uns nicht nur eine 
Kontrollinstanz, sondern vielmehr ein 
konstruktiver Ideen- und Ratgeber. 
Er wird von Anfang an eng mit in alle 
Prozesse einbezogen - insbesondere 
auch wenn es um die fachliche Beglei- 
tung neuer Features und Kooperatio- 
nen geht. Sein starker IT-Hintergrund 
ist für datenschutzgerechte technische 
Umsetzungen für uns von enormem Vor- 
teil. Die Datenschutzkoordination hat 
zusätzlich das detaillierte Wissen über 
unternehmensinterne Abläufe. Zusam- 
men können so datenschutzkonforme 
Lösungs- und Umsetzungskonzepte er- 
stellt werden. 


HA: Es gibt ja in einigen Regionen 
Deutschlands eine (mehr oder weni- 
ger) enge Zusammenarbeit mit örtli- 
chen Nahverkehrs-Unternehmen. Wie 
kann sich jemand den dabei nötigen 
Datenaustausch vorstellen? 


JS: Grob skizziert gibt es dabeimomen- 
tan zwei Modelle. In der einen Variante, 
z. B. bei der ASEAG in Aachen, erhält 
cambio nicht die Namen, Adressen und 
Kontaktdaten der Nutzerinnen und Nut- 
zer, sondern lediglich Chipkartennum- 
mern. Die Nutzerinnen und Nutzer tau- 
chen in unserem System dann lediglich 
mit einer Chipkartennummer und der 
Bezeichnung des ÖPNV-Unternehmens 
auf. Die Abrechnung und die Kommuni- 
kation läuft (auch im Falle von Unfällen 
und Bußgeldern) über das ÖPNV-Unter- 
nehmen und bezieht sich auf die Chip- 
kartennummer. Das ÖPNV-Unternehmen 
stellt selbst die App, das Callcenter etc. 

In der zweiten Variante werden Na- 
men, Adressen und Kontaktdaten vom 
Kundinnen und Kunden des ÖPNV- 


Unternehmens direkt auf ein Formular 
von cambio eingetragen. Wir erhalten 
die Daten also von Anfang an direkt von 
den Kundinnen und Kunden selbst. Ob 
dann die Abrechnung durch cambio di- 
rekt oder durch das ÖPNV-Unternehmen 
erfolgt, unterscheidet sich von Stadt zu 
Stadt. 

Zukunftsstrategien der ÖPNV-Unter- 
nehmen gehen in Richtung MAAS (mo- 
bility-as-a-service). Die Idee dabei ist, 
dass alle personenbezogenen Daten für 
die Nutzung einer Mobilitäts-Plattform 
nur einmal erhoben werden und dann 
per Klick an- oder abgewählt werden 
kann, welche angeschlossenen Dienste 
genutzt werden sollen. Die Unterneh- 
men wollen uns so über ihre Plattform 
Kundinnen und Kunden vermitteln. 
Diese Pläne sind bisher allerdings ge- 
scheitert, da wir nicht bereit sind Daten 
von Kundinnen und Kunden ohne deren 
Zustimmung zu unseren AGBs und zu 
unserer Datenschutzinformation auf- 
zunehmen. An dieser Stelle besteht mo- 
mentan also ein Konflikt zwischen dem 
Wunsch der ÖPNV-Unternehmen nach 
Usability und unserer Forderung nach 
rechtskonformer Verarbeitung. 


HA: Seit 15 Jahren bieten die cam- 
bio-Gesellschaften neben der vorab 
festgelegten Fahrzeit teilweise auch 
sogenannte Open-End-Buchungen 
an. Wurden oder werden für die Pla- 
nung von Open-End Buchungen auch 
personenbezogene Daten der Nutzen- 
den ausgewertet? 


JS: Nein, überhaupt nicht. Wir lö- 
sen das technisch viel einfacher: die 
Open-End Buchungen sind „normale“ 
Buchungen mit einer angenommenen 
Dauer und einer automatischen Verlän- 
gerung, wenn die Kundin oder der Kun- 
de nicht zwei Stunden vor Ende der Bu- 
chung die Fahrt beendet hat. Um dann 
folgende Buchungen nicht stornieren 
zu müssen, bieten wir Open-End-Bu- 
chungen nur an Stationen an, an denen 
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mindestens zwei weitere Autos des glei- 
chen Typs vorhanden sind. 

Nach und nach werden Open-End- 
Buchungen wahrscheinlich sowieso 
überflüssig. In Bremen erweitert seit 
August 2020 das Free-Floating Angebot 
von cambio unter dem Namen „smumo” 
(smart urban mobility) unser stations- 
basiertes Angebot. Free-Floating-Fahr- 
zeuge werden nicht gebucht. Sie stehen 
einfach wieder zur Verfügung, wenn sie 
zurückgegeben wurden. 


HA: Allgemein zur Auswertung der 
anfallenden Daten: An Nutzungs- und 
Fahrverhalten haben sicher sowohl 
Sie als auch andere Akteure ein gro- 
ßes Interesse. Wie werden die Daten 
ausgewertet? 


JS: Wir haben von Anfang an, seit 
1990, den Grundsatz: „Wir geben keine 
Daten an Dritte weiter und haben kein 
Interesse an den damit verbundenen 
Geschäftsmodellen.” Wir müssen aller- 
dings selbst verschiedene Auswertun- 
gen machen, um der Nachfrage der Kun- 
den möglichst gut nachkommen zu kön- 
nen. An welchen Stationen wird z.B. ein 
Kombi nur gebucht, weil der Fiesta nicht 
frei ist? Durch die Art und Weise, wie 
unser Buchungssystem funktioniert, 
kennen wir die Buchungswünsche und 
stellen diese Daten wöchentlich den 
jeweiligen Geschäftsführerinnen und 
Geschäftsführern zur Verfügung, um auf 
Basis dieser Daten planen zu können. 
Damit können Stationsgrößen an den 
Bedarf angepasst oder auch langfristi- 
ge Fahrzeugbestellungen z. B. für den 
Sommer geplant werden. Diese Auswer- 
tungen sind nicht personenspezifisch. 
Wir haben 140.000 Kundinnen und Kun- 
den und dabei ist es unwichtig, welche 
Person welchen Buchungswunsch hat. 


Uns interessiert für die Planung die Ge- 
samtheit aller Buchungswünsche. 


HA: Sie schreiben, dass mehr als 
die Hälfte der Fahrten beruflich ver- 
anlasst sind. Wie detailliert sind die 
Fahrtdaten, die an Unternehmen 
übermittelt werden, deren Angestell- 
te cambio-Fahrzeuge für Dienstfahr- 
ten nutzen. Nehmen wir an, eine Mit- 
arbeiterin oder ein Mitarbeiter hat ei- 
nen Unfall. Was wird dem Arbeitgeber 
übermittelt? 


SW: Wir müssen zwei Szenarien unter- 
scheiden: Bei Fremdverschulden neh- 
men wir Kontakt mit dem Unfallgegner 
auf. Wenn nötig, reden wir dann mit der 
Fahrerin oder dem Fahrer (also in die- 
sem Fall der/dem Angestellten des Un- 
ternehmens) oder aber wir geben, nach 
deren Einwilligung, die Kontaktdaten 
an unseren Anwalt oder unsere Anwäl- 
tin weiter, wenn das für die Bearbeitung 
des Vorgangs nötig ist. Der Arbeitgeber 
erfährt von alledem nichts. 

Im Falle von Eigenverschulden wenden 
wir uns direkt an die Fahrerin oder den 
Fahrer und besprechen alles Wesentliche. 
Sie oder er bekommt dann eine E-Mail 
über die zu zahlende Eigenbeteiligung, 
dieer oder sie an den Arbeitgeber weiter- 
leitet, da wir die zu zahlende Summe dem 
Arbeitgeber in Rechnung stellen. Als 
Ausnahme gilt hier, wenn uns die Fahre- 
rin oder der Fahrer bittet den Arbeitgeber 
direkt zu informieren. In diesem Fall ver- 
schicken wir die E-Mail an die Fahrerin 
oder den Fahrer und nehmen den Arbeit- 
geber in Kopie. 

JS: Der Arbeitgeber als Vertragspart- 
ner mit cambio hat zusätzlich natürlich 
Zugriff auf die Fahrtdaten und kann zu- 
ordnen, zu welcher Fahrt der Schaden 
gehört. Im Vergleich zu einem Unfall 


mit einem Dienstwagen bekommt der 
Arbeitgeber von uns allerdings kein Un- 
fallprotokoll. 


HA: Damit wären wir schon fast am 
Ende des Interviews. Zu guter Letzt, 
was erwartet uns Ihrer Einschätzung 
nach noch alles in Sachen IT im KFZ? 


JS: Heute ist es schon so, dass die In- 
formationsdichte zwischen Hersteller 
und Auto sehr groß ist. Der Hersteller 
bekommt beim Autokauf den Namen 
der Käuferin oder des Käufers und kann 
dann eine Vielzahl von Daten über das 
Fahrzeug abrufen wie etwa Spritver- 
brauch, Bauteileverschleiß, Fahrver- 
halten. All das kann in der Regel einer 
Person, meist der Käuferin oder dem 
Käufer des Pkws, zugeordnet werden. 

Im Gegensatz zum Pkw im Privatbesitz 
kann beim CarSharing der Autohersteller 
die Daten keiner Person zuordnen, denn 
aus Herstellersicht fährt hier immer nur 
der Kunde „cambio”. Wir geben die In- 
formation, wer zu welchem Zeitpunkt 
im Auto sitzt, nicht weiter. Wir als Car- 
Sharing-Unternehmen bilden dadurch 
sozusagen die Firewall zwischen Kundin- 
nen und Kunden und den Herstellern des 
Pkws. Das würde für autonome Autos in 
der Zukunft genauso funktionieren. 

Datenschutz gehört für uns zu einer 
langfristigen und fairen Kundenbezie- 
hung. Wir brauchen diese Partnerschaft 
zu unseren Kundinnen und Kunden. Das 
ist die Basis, auf der wir arbeiten. Wenn 
dieses Vertrauen verloren geht, würden 
wir das sehr schnell zu spüren bekommen, 
denn am Ende sitzen wir alle im gleichen 
Boot. Es ist gemeinschaftliches CarSha- 
ring und kein reines Vermietgeschäft. 


HA: Frau Weitkamp, Herr Schwarz, 
ich danke Ihnen für das Gespräch. 
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Werner Hülsmann 


Datenschutz bei der Nutzung von Mietwagen 
Oder: Der Versuch eine vollständige Auskunft nach Art. 15 DSGVO zu erhalten 


Der Sachverhalt 


Ein Bekannter des Autors - nennen 
wir ihn Michael Müller, da sein echter 
Name nichts zur Sache tut - mietet des 
Öfteren bei einer der führenden Auto- 
vermietungsfirmen (im folgenden „Ed- 
fAVF” genannt, da Herr Müller darum 
bat, den Firmennamen nicht zu nen- 
nen) einen Mietwagen. Beruflich als 
Datenschützer tätig dachte sich Micha- 
el Müller, dass es doch mal interessant 
wäre zu erfahren, wie denn EdfAVF auf 
eine Auskunftsanfrage reagieren würde. 
So schrieb Herr Müller an EdfAVF: 

„Ich wäre Ihnen dankbar, wenn Sie 
mir eine Auskunft gem. Art. 15 DSGVO 
zukommen lassen könnten. Gerne auch 
postalisch an die bei Ihnen zu meinem 
Konto hinterlegte Postanschrift. 

Ich wäre Ihnen dankbar, wenn Sie mir 
dabei konkretisierend mitteilen könnten, 
wann und wie die personenbezogenen 
Daten inkl. dazu gehöriger Metadaten, 
die dadurch entstehen, dass ich mich mit 
meinem Handy mit dem Mietfahrzeug 
verbinde (idR via Bluetooth), dort wieder 
gelöscht werden.“ 

Der erste Teil des Auskunftsersuchens 
ist sehr allgemein gehalten. Der zwei- 
te Teil wird dagegen sehr konkret. Aus 
Sicht des Autors ist diese Fragestellung 
sehr interessant. Schließlich kommt es 
sicher sehr häufig vor, dass MieterInnen 
eines Fahrzeugs ihr Smartphone mit 
dem „Bordcomputer“ verbinden, um die 
fahrzeugeigene Freisprecheinrichtung 
zu nutzen oder im Smartphone gespei- 
cherte Adressdaten an das Navigations- 
gerät des Mietwagens zu übertragen. 


Die Auskunft 


Die Antwort der Mietwagenfirma zum 
zweiten Punkt war so überraschend wie 
erstaunlich: 

„Bitte gestatten Sie uns folgende In- 
formation: Wenn unsere Kunden perso- 
nenbezogene Daten in den Infotainment- 
Systemen speichern, handelt es sich nicht 
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um eine Datenerhebung oder Speiche- 

rung durch EdfAVF. Gemäß Ziffer X,y. un- 

serer Allgemeinen Vermietbedingungen 
sorgt der Mieter selbst für eine Löschung 
der Daten.“ 

Dazu müsste den MieterInnen eine ent- 
sprechende Anleitung für das Löschen 
dieser Daten zur Verfügung gestellt wer- 
den. Unabhängig davon stellt sich al- 
lerdings die Frage, ob diese Antwort da- 
tenschutzrechtlich haltbar ist. So gehört 
doch das System, in dem diese Daten bei 
einer Kopplung des Smartphones mit dem 
Infotainment-System landen, der Ver- 
mietfirma. Von daher legt die Vermietfir- 
ma zumindest die Mittel fest, mit denen 
diese Daten verarbeitet werden. Durch 
die Auswahl des Infotainment-System 
sind auch die Zwecke vorgegeben zu de- 
nen dieses System genutzt werden kann. 
Ist dann nicht auch die Autovermietfirma 
als Verantwortlicher im Sinne von Art. 4 
Ziff. 7 DSGVO zu sehen? 

Die Antwort auf die allgemeine Aus- 
kunftsanfrage war weniger überra- 
schend. Sie war aus Sicht von Herrn 
Müller unvollständig. So schrieb er er- 
neut an EdfAVF: 

„Ich habe Ihre Antwort und Auskunft 
nach Art. 15 DSGVO erhalten. Hierfür zu- 
nächst vielen Dank. 

Ich bin mir allerdings nicht sicher, ob 
diese vollständig ist. 

So fehlen m.E. Angaben zu folgenden 
Punkten, deren Verarbeitung Sie in Ihrem 
Datenschutz-Informationsblatt selbst an- 
geben: 

e Kommunikationsdaten (aktuell fehlen 
m.E.: die Kommunikationsinhalte) 

« Vertragsdaten (aktuell fehlen m.E.: 
die Beschwerde bzw. Umfragedaten; 
Angaben zu meinem Kundenstatus, 
für den ich einen Aktionärsnachweis 
eingereicht habe; Übergabeprotokolle; 
Bonitätsdaten) 

e Standortdaten aus der App-Nutzung 

« Telematikdaten 


Könnten Sie mir diese Informationen 
noch zur Verfügung stellen?“ 


Auf diese Nachfrage bekam Herr 
Müller weitere Information von Ed- 
fAVF. Bonitätsdaten lägen keine vor, 
das Vorliegen der Umfrageantworten 
und einer Beschwerde wurde bestätigt, 
ebenso dass auf Grund der Beschwerde 
eine Rechnung korrigiert wurde, der 
Kundenstatus wurde beauskunftet und 
„alle verfügbaren Übergabeprotokolle” 
wurden in einer mit Passwort geschütz- 
ten Zip-Datei übersandt, welches Herrn 
Müller „mit separater E- Mail erhielt. Zu 
den explizit nachgefragten Standort- 
und Telematikdaten wurde mitgeteilt: 

„Sollten wir Ihre Standortdaten und 
Telematikdaten erhoben haben, so haben 
wir diese nur für einen kurzen Zeitraum 
verarbeitet. Standortdaten und Telema- 
tikdaten werden schnellstmöglich ge- 
löscht. Es sind keine Standortdaten und 
Telematikdaten gespeichert.” 

Soweit, so gut. 

Zu den angefragten Kommunikations- 
inhalten wurde seitens EdfAVF beschie- 
den: 

„Kommunikationsinhalte sind nicht 
vom Auskunftsanspruch der Datenschutz- 
Grundverordnung (DSGVO) umfasst. 
Die für uns zuständige Datenschutzauf- 
sichtsbehörde führt dazu aus: „Der da- 
tenschutzrechtliche Auskunftsanspruch 
nach Art. 15 DSGVO betrifft nach dem 
Wortlaut von dessen Abs. 1 eine Aus- 
kunftserteilung über die personenbezo- 
genen Daten, die vom Verantwortlichen 
verarbeitet werden. Das bedeutet aber 
nicht regelmäßig die Herausgabe von al- 
len Dokumenten, E-Mails etc., in denen 
z. B. der Name der betroffenen Person und 
eventuelle weitere Informationen über 
diese Person enthalten sind. Nach Art. 15 
Abs. 3 DSGVO ist nur eine „Kopie der per- 
sonenbezogenen Daten, die Gegenstand 
der Verarbeitung sind“, zur Verfügung zu 
stellen. Es ist hier jedoch nicht die Rede 
von Kopien der betreffenden Akten, von 
sonstigen Unterlagen usw.“ (....). Über- 
dies beeinträchtigt die Beauskunftung 
Rechte und Freiheiten anderer Personen 
(vgl. Art. 15 Abs. 4 DSGVO), insbesondere 
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Betriebs- und Geschäftsgeheimnisse so- 
wie Persönlichkeitsrechte unserer Mitar- 
beiter, da diese im operativen Alltag teils 
interne Vermerke zur Gedächtnisunter- 
stützung und reibungslosen Abwicklung 
bzw. Bereitstellung unserer Mobilitätsan- 
gebote machen.“ 

Michael Müller kommentierte diese 
Aussage mit 

„Sportliche Auffassungen, insbeson- 
dere vor dem Hintergrund des OLG Köln 
Urteils” 

Es ist zwar richtig, dass gemäß 
Art. 15 Abs 4 DSGVO das Recht auf Er- 
halt einer Kopie der Daten, „die Rechte 
und Freiheiten anderer Personen nicht 
beeinträchtigen” darf. Allerdings ist die 
Verweigerung einer solchen Kopie keine 
adäquate Lösung. Vielmehr ist es mög- 
lich betreffende Namen oder sonstige 
Kürzel, die auf die Beschäftigten von 
EdfAVF schließen lassen, zu schwärzen, 
um die Persönlichkeitsrechte zu schüt- 
zen. Auch die Argumentation mit „Be- 
triebs- und Geschäftsgeheimnissen” ist 


Heinz Alenfelder 


in Bezug auf die Kommunikationsinhal- 
te hier nicht zielführend. So stellt das 
OLG Köln im genannten Urteil fest „Die 
Beklagte kann sich demgegenüber auch 
nicht mit Erfolg darauf berufen, dass ein 
entsprechend weit gefasster Datenbegriff 
ihre Geschäftsgeheimnisse verletzen wür- 
de.“ (Randnr. 316) und verurteilt die 
Beklagte dazu, 

„dem Kläger über die mit Schreiben 
vom 10.08.2018 bereits erfolgte Über- 
sendung einer „Aufstellung Ihrer Per- 
sonendaten aus der zentralen Daten- 
verarbeitung“ sowie „Aufstellung Ihrer 
Personendaten aus dem Lebensversi- 
cherungsvertrag Nr. 7xx57xx0.x" hinaus 
Auskunft zu sämtlichen weiteren diesen 
betreffenden personenbezogenen Da- 
ten, insbesondere auch in Gesprächs- 
notizen und Telefonvermerken, zu er- 
teilen, welche die Beklagte gespeichert, 
genutzt und verarbeitet hat.” (Hervor- 
hebung durch den Autor). 

Unter Berücksichtigung des - zum 
Redaktionsschluss - noch nicht rechts- 


kräftigen Urteils ist auch mit dem zwei- 
ten Schreiben der Auskunftsanspruch 
noch nicht erfüllt. Daher wäre dies ei- 
gentlich ein Fall für die Datenschutz- 
Aufsichtsbehörde. Ob Michael Müller 
diesen Weg beschreiten wird, war zum 
Redaktionsschluss noch offen. 


Fazit 


Nicht nur beim Thema autonomes 
Fahren ist die Umsetzung des Daten- 
schutzes noch verbesserungsfähig. 
Auch bei einem schon lange genutzten 
Geschäftsmodell wie der Autovermie- 
tung ist der Datenschutz und insbe- 
sondere die Umsetzung des Auskunfts- 
rechts ausbaufähig. 


1 Urteil des Oberlandesgericht Köln, 
20U 75/18, zu finden unter: http:// 
www.justiz.nrw.de/nrwe/olgs/koeln/ 
j2019/20_U_75_18_Urteil_20190726. 
html 


Moderne Fahrrad-Ausleihe - Ein Erfahrungsbericht 


Um es gleich vorweg zu sagen: Ich 
fahre gern mit dem Rad - bei schönem 
Wetter deutlich lieber mit dem Rad als 
mit der Straßenbahn. Da es nicht unbe- 
dingt mein eigenes Fahrrad sein muss 
und dieses oft auf dem Nachhauseweg 
nicht zur Verfügung steht, kommt mir 
das Angebot der Kölner Verkehrsbetrie- 
be KVB sehr entgegen: Mit meinem KVB- 
Abo-Ticket kann ich jederzeit ein Rad 
der in Leipzig beheimateten Nextbike 
GmbH ausleihen und muss in der ersten 
halben Stunde nichts dafür bezahlen. 
Im Sommer mache und machte ich das 
oft. Wie oft? 

Nun, da beginnt das Problem: Ein 
Blick in meinen Nextbike-Account auf 
der Webseite zeigt mir in einer langen 
Liste sämtliche Ausleihen seit meiner 
ersten Anmeldung 2015. Da steht zum 
Beispiel für einen Tag im Herbst 2015 

„24:54:05 Rad 21649 bis 
15:07:12 (Ottoplatz / Opla- 
der Str. (Bahnhof Deutz))”. 
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Diese Ausführlichkeit haben nicht 
alle Einträge, nur für das Jahr 2017 sind 
fast alle Fahrten außer mit den Zeitan- 
gaben auch mit Straßennamen verse- 
hen - wohlgemerkt: oft mit denen von 
Start- und End-Punkt. Die Datenschutz- 
erklärung auf der Webseite erwähnt dies 
nicht, sondern spricht lediglich un- 
genau von weiteren Daten, und nennt 
„2. B. den Zeitpunkt der Ausleihe sowie 
den Rückgabezeitpunkt zu Abrech- 
nungszwecken”. 

Ein angeforderter Auszug meiner per- 
sonenbezogenen Daten enthält genau 
die im Web sichtbaren Fahrt-Angaben 
in Textform, nicht etwa als GPS-Koordi- 
naten, und Nextbike ergänzte in einer 
erläuternden Mail: „Gemäß 88 257 HGB, 
147 Abs. 1 Nr. 4, Abs. 3 AO sind wir zu 
einer Speicherung der Rechnungsda- 
ten für einen Zeitraum von zehn Jahren 
verpflichtet.” Mich irritiert, dass auch 
die kostenlosen, weil von der KVB über- 
nommenen, Fahrten „Rechnungsdaten” 


sind, die mir als Person mit Ortsangaben 
zugeordnet werden müssen. Eine Nach- 
frage beim Datenschutzbeauftragten 
von Nextbike ist anhängig, doch dazu 
später mehr. 

Zu meinem ehrlichen Erfahrungs- 
bericht gehört auch eine kurze Be- 
schreibung des eher entmutigenden 
Ablaufs meines Auskunftsersuchens. 
Nach E-Mail-Anschreiben an die auf 
der Webseite genannte Mail-Adresse 
datenschutz@nextbike.de im Febru- 
ar und April dieses Jahres und einem 
Postbrief im September 2020 wurde die 
Auskunft erst erteilt, als ich im Oktober 
schließlich per E-Mail eine 48-Stun- 
den-Frist bis zur Einschaltung der Auf- 
sichtsbehörde einräumte. Allerdings 
antwortete nicht der auf der Webseite 
genannte Datenschutzbeauftragte, son- 
dern jemand aus der Abteilung „Infor- 
mation Security Management”. Seine 
Erklärung: „In diesem Jahr haben wir 
unsere Prozesse bezogen auf den Daten- 
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schutz erheblich umgestellt. Daher kam 
es dazu, dass vereinzelt Anfragen nicht 
beantwortet wurden. Die Probleme ha- 
ben wir aber mittlerweile abgestellt 
.... Außerdem arbeite man daran, die 
Dateneinsicht nach dem Login auf der 
Webseite „kundenfreundlicher, in erster 
Linie übersichtlicher” darzustellen. 
Also versuchteich, wie oben erwähnt, 
eine Auskunft vom auf der Webseite 
mittlerweile namentlich genannten 


Datenschutzbeauftragten zu erhalten, 
der interessanterweise im „Öffentlichen 
Verfahrensverzeichnis” als „Mit der Lei- 
tung der Datenverarbeitung beauftragte 
Person” aufgeführt wird. Seine Antwort 
auf meine per E-Mail gestellte Frage, 
warum teils die Anfangs- und Endpunk- 
te meiner Fahrten in der Rechnung auf- 
gelistet werden, teils aber auch nicht, 
steht zum Redaktionsschluss noch aus. 
Vielleicht sind für solche kniffeligen E- 


Offener Brief an EU-Kommission: 


vom 06.10.2020 


Bild+iStock.com/AKodisinghe 


Sehr geehrte Frau Ylva Johansson, 
EU-Kommissarin für Inneres; 

sehr geehrter Herr Thierry Breton, EU- 
Kommissar für den Binnenmarkt; 

sehr geehrter Herr Didier Reynders, 
EU-Justizkommissar und 

sehr geehrte Frau Margrethe Vesta- 
ger, EU-Kommissarin für Wettbewerb 
und Digitales 
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Wir sind zutiefst beunruhigt über 
Erklärungen [1], dass die Kommission 
beabsichtigt die Notwendigkeit wei- 
terer Maßnahmen zur Vorratsspeiche- 
rung von Kommunikationsdaten zu 
prüfen, sobald die Urteile in noch aus- 
stehenden Fällen ergangen sind. Am 
9. Dezember 2019 sagte Kommissarin 
Johansson [2]: „Ich denke schon, dass 


Mail-Anfragen sieben Arbeitstage etwas 
arg knapp. Ich werde es in zwei und 
dann in weiteren fünf Monaten nochmal 
versuchen und gerne an dieser Stelle 
darüber berichten. Aus meiner Sicht 
jedenfalls scheint die „erhebliche“ Um- 
stellung der „Prozesse bezogen auf den 
Datenschutz” bei Nextbike noch nicht 
komplett abgeschlossen zu sein. Am 
besten sollte wohl doch die Aufsichts- 
behörde eine Hilfestellung leisten. 


wir ein Gesetz für die Vorratsdaten- 
speicherung brauchen”. Eine Studie 
über „mögliche Lösungen für die Vor- 
ratsspeicherung von Daten“ wurde in 
Auftrag gegeben. Die deutsche Grund- 
rechts- und Datenschutzorganisation 
Digitalcourage hält das Design der Stu- 
die [3] für voreingenommen, da es die 
Gefahren der Vorratsdatenspeicherung 
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in der Telekommunikation nicht be- 
rücksichtigt. 

Die umfassende und anlasslose Vor- 
ratsspeicherung von Telekommunika- 
tionsdaten ist das am stärksten in die 
Privatsphäre eingreifende Instrument 
und möglicherweise die unbeliebteste 
Überwachungsmaßnahme, die jemals 
von der EU verabschiedet wurde. Die 
EU-Richtlinie zur Vorratsdatenspeiche- 
rung schrieb die umfassende Erfassung 
sensibler Daten zu sozialen Kontakten 
(einschließlich Geschäftskontakten), 
Bewegungsverhalten und Privatleben 
(z.B. Kontakte mit Ärzten, Rechtsan- 
wälten, Betriebsräten, Psychologen, 
Notrufnummern usw.) von 500 Millio- 
nen Europderinnen und Europäern vor, 
die keiner Straftat verdächtigt werden. 

In seinem Urteilvom 8. April 2014 setz- 
te der Europäische Gerichtshof (EuGH) 
die Richtlinie 2006/24 zur Vorratsdaten- 
speicherung außer Kraft, die Telekom- 
munikationsunternehmen verpflichtet 
hatte Daten über die Kommunikation 
aller ihrer Kunden zu speichern. Sie ist 
aber in verschiedenen Mitgliedsstaaten 
der Europäischen Union noch immer in 
nationales Recht umgesetzt. 

Wir sind der Überzeugung, dass eine 
derartig invasive Überwachung der ge- 
samten Bevölkerung nicht akzeptabel 
ist. Mit einer Regelung zur Datenspei- 
cherung werden sensible Informationen 
zu sozialen Kontakten (einschließlich 
Geschäftskontakten), Bewegungsver- 
halten und das Privatleben (z.B. Kontak- 
te mit Ärzten, Rechtsanwälten, Betriebs- 
räten, Psychologen, Helplines usw.) von 
Millionen von Europderinnen und Euro- 
päern gesammelt, ohne Vorliegen von 
individuellen Verdachtsmomenten. Die 
umfassende und anlasslose Vorratsspei- 
cherung von Telekommunikationsdaten 
hat sich in vielen Bereichen der Gesell- 
schaft als schädlich erwiesen. Die Vor- 
ratsspeicherung von Telekommunikati- 
onsdaten untergräbt das Berufsgeheim- 
nis, schafft die ständige Gefahr von Da- 
tenverlusten und Datenmissbrauch und 
hält die Bürger davon ab vertrauliche 
Kommunikation über elektronische Net- 
ze zu führen. Sie untergräbt den Schutz 
journalistischer Quellen und schwächt 
damit die Pressefreiheit. Insgesamt be- 
schädigt sie die Grundlagen unserer of- 
fenen und demokratischen Gesellschaft. 
Da es in den meisten Ländern kein fi- 
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nanzielles Entschädigungssystem gibt, 
müssen die enormen Kosten einer Re- 
gelung zur Vorratsspeicherung von Tele- 
kommunikationsdaten von den Tausen- 
den betroffenen Telekommunikations- 
anbietern getragen werden. Dies führt 
zu Preiserhöhungen und zur Einstellung 
von Diensten, wodurch die Verbraucher 
indirekt belastet werden. 

Studien [4] belegen, dass bereits die 
ohne Vorratsdatenspeicherung verfüg- 
baren Kommunikationsdaten zur effek- 
tiven Aufklärung von Straftaten ausrei- 
chen. Eine umfassende Vorratsdaten- 
speicherung hat sich in vielen Staaten 
Europas als überflüssig, schädlich oder 
sogar verfassungswidrig erwiesen, z.B. 
in Österreich, Belgien, Deutschland, 
Griechenland, Rumänien und Schwe- 
den. Diese Staaten verfolgen die Krimi- 
nalität ebenso effektiv mit der gezielten 
Sammlung von Verkehrsdaten, die für 
individuelle Ermittlungen benötigt wer- 
den, wie z.B. den im Übereinkommen 
des Europarats über Computerkrimina- 
lität vereinbarten Rechtsrahmen zur Si- 
cherung gespeicherter Daten. 

Wir argumentieren, dass das aktuelle 
deutsche Gesetz zur Vorratsdatenspei- 
cherung nicht als Vorbild für die EU an- 
gesehen werden darf. Erstens sind ver- 
schiedene Verfassungsbeschwerden ge- 
gen das Gesetz anhängig und zweitens 
verfolgt das deutsche Gesetz den glei- 
chen grundsätzlich riskanten Ansatz 
Daten über alle Bürgerinnen und Bür- 
ger kontinuierlich und ohne Rücksicht 
auf individuellen Verdacht, Bedrohung 
oder Bedarfzu erheben. 

Es gibt keinen Beweis dafür, dass die 
Vorratsspeicherung von Telekommuni- 
kationsdaten einen verbesserten Schutz 
vor Kriminalität bietet. Auf der anderen 
Seite sehen wir, dass sie Milliarden von 
Euro kostet, die Privatsphäre Unschul- 
diger gefährdet, vertrauliche Kommu- 
nikation beeinträchtigt und den Weg für 
eine immer größere Massenanhäufung 
von Informationen über die gesamte 
Bevölkerung ebnet. Als Vertreter der 
Bürgerinnen und Bürger, der Medien, 
der Fachleute und der Industrie lehnen 
wir gemeinsam die generelle Speiche- 
rung von Telekommunikationsdaten 
ab. Wir fordern Sie dringend auf, kei- 
ne Versuche zur Wiedereinführung der 
Vorratsdatenspeicherung von Telekom- 
munikationsdaten zu unternehmen. 


Gleichzeitig appellieren wir an Sie Ver- 
tragsverletzungsverfahren einzuleiten, 
um sicherzustellen, dass die nationalen 
Gesetze zur Vorratsdatenspeicherung in 
allen betroffenen Mitgliedsstaaten auf- 
gehoben werden. Darüber hinaus rufen 
wir Sie dazu auf sich für ein EU-weites 
Verbot genereller und anlassloser Vor- 
ratsdatenspeicherung einzusetzen, die 
die Aktivitäten von Menschen erfassen. 
Wir fordern Sie auf den europäischen 
Weg weiterzuentwickeln mit dem Ziel 
einer EU, die frei von invasiver Überwa- 
chung ist. Wir würden uns freuen die 
Angelegenheit mit Ihnen persönlich zu 
besprechen, zu einem für Sie passenden 
Termin. Mit freundlichen Grüßen 


1 https://www.europarl.europa.eu/ 
RegData/questions/reponses_ 
qe/2020/000389/P9_RE(2020)000389 _ 
EN.pdf 


2 https://www.europarl.europa.eu/ 
RegData/questions/reponses_ 
qe/2019/004385/P9_RE(2019)004385_ 
EN.pdf 

3 https://digitalcourage.de/blog/2020/ 
data-retention-biased-study-by-the-eu- 
commission 
https://digitalcourage.de/blog/2020/ 
vorratsdatenspeicherung-einseitige- 
studie-der-eu-kommission 


4 EDRi: Data Retention Booklet: 
https://edri.org/our-work/launch-of- 
data-retention-revisited-booklet/ 


Erstunterzeichner: 


Access Now; ARTICLE 19, UK; Associ- 
acäo D3 - Defesa dos Direitos Digitais, 
Portugal; Association for Technology 
and Internet / Asociatia pentru Tehno- 
logie si Internet (ApTI), Romania; Chaos 
Computer Club e.V., Germany; Citizen D/ 
Drzavljan D, Slovenia; Dataskydd.net, 
Sweden; Datenschutzraum e.V., Germa- 
ny; Deutsche Aidshilfe, Germany; Deut- 
sche Vereinigung für Datenschutz (DVD) 
e.V., Germany; dieDatenschützer Rhein 
Main, Germany; Die Neue Richterverei- 
nigung - Zusammenschluss von Richte- 
rinnen und Richtern, Staatsanwältin- 
nen und Staatsanwälten e.V., Germany; 
Digitalcourage e.V., Germany; Digitale 
Gesellschaft, Germany; Digital Freedom 
(Digitale Freiheit e.V.), Germany; Digital 
Freedom and Rights Association / DFRI 
- Föreningen för digitala fri- och rättigh- 
jeter, Sweden; Digital Rights Ireland; Ire- 
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land; Dr. Thilo Weichert, Netzwerk Daten- 
schutzexpertise, Germany; eco - Verband 
der Internetwirtschaft e.V., Germany; 
European Digital Rights (EDRi), EU-wide 
network; Electronic Frontier Finland, 
Finland; Electronic Frontier Foundation, 
U.S.A.; Electronic Frontier Norway, Nor- 
way; epicenter.works - Plattform Grund- 
rechtspolitik, Austria; FREELENS e.V., 
Germany; Freifunk Hamburg, Germany; 
Forum Computer Professionals for Peace 
and Societal Responsibility, Germany / 


Forum InformatikerInnen für Frieden 
und gesellschaftliche Verantwortung 
e.V., FIfF, Germany; Hermes Center for 
Transparency and Digital Human Rights, 
Italy; Homo Digitalis, Greece; Internet 
Society, Bulgaria; Internet Society, Ger- 
man Chapter (ISOC.DE) e.V., Germany; 
IT-Political Association of Denmark (IT- 
Pol), Denmark; Turidicum Remedium, z. 
s., Czech Republic; Komitee für Grund- 
rechte und Demokratie, Germany; Mike 
O’Neill, Director of Baycloud Systems, 


Neue Richtervereinigung (NRV) 
Zusammenschluss von Richterinnen und Richtern, Staatsanwältinnen und Staats- 
anwälten e.V. - Fachgruppe Verwaltungsrech. Pressemitteilung vom 18.05.2020 


Kritik an der Auswertung von Datenträgern durch das 


BAMF hält an 


Die im Juli 2017 eingeführte Be- 
fugnis, Datenträger von Asylsuchen- 
den auszuwerten, soweit dies für die 
Feststellung der Identität und Staats- 
angehörigkeit erforderlich ist (g 15a 
AsylG), unterlag schon im Gesetzge- 
bungsverfahren verfassungsrechtli- 
chen Bedenken. Darüber hinaus gibt 
die praktische Handhabung durch das 
Bundesamt für Flüchtlinge und Migra- 
tion (BAMF) Anlass zur Sorge. Offenbar 
werden die Smartphones Geflüchteter 
massenhaft ausgelesen, die dabei ge- 
wonnenen Informationen führen aber 
kaum einmal zu tatsächlich relevan- 
ten Erkenntnissen für das Asylverfah- 
ren. Angesichts der verschwindend 
geringen Relevanz derartiger Zugriffe 
und der hohen Intensität der hiermit 
verbundenen Grundrechtseingriffe ist 
auch dies kritisch zu sehen. 

Smartphones stellen heute ein ele- 
mentares Instrument für die Teilhabe 
am sozialen, beruflichen und auch am 
Intimleben dar. Die hier gespeicherten 
Informationen gehören zu den denk- 
bar sensibelsten Daten, die - in Summe 
- das alltägliche Leben praktisch voll- 
ständig digital abbilden können. Die 
Problematik liegt auf der Hand: Flücht- 
linge tragen gerade in ihren Smartpho- 
nes in aller Regel zahlreiche Privatkon- 
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takte, Konversationen, Fotos, kurz „ihr 
Leben und ihre Heimat” mit sich. Bei 
der Vorlage im Rahmen des Asylverfah- 
rens könnte das BAMF auch die Stand- 
orthistorie oder die Sprache der aufdem 
Handy gespeicherten Textnachrichten 
analysieren. Das Auslesen und Aus- 
werten dieser Daten ist ausgesprochen 
grundrechtssensibel. Dem trägt das 
deutsche und europäische Verfassungs- 
recht durch die Grundrechte auf Privat- 
leben sowie Datenschutz Rechnung. Die 
gesetzlichen Voraussetzungen und die 
Notwendigkeit einer solchen Erhebung 
müssen deshalb im Einzelfall sorgfäl- 
tig geprüft werden. Ein routinemäßiger 
Einsatz verbietet sich. 

Dennoch ergaben Recherchen, dass 
das Verfahren jährlich zehntausendfach 
angewandt und zur Standardmaßnahme 
degradiert wird. Laut Berichterstattung 
über drei jüngst erhobene Klagen Be- 
troffener sollen sich laut BAMF in 60% 
der Fälle keine zusätzlichen, für das 
Asylverfahren relevanten Erkenntnisse 
ergeben haben. In 38% der Fälle hätten 
die ausgewerteten Daten die Angaben 
des Geflüchteten bestätigt. In nur 2% 
der Fälle seien die Angaben widerlegt 
worden. Hinzu kommt, dass laut der 
Gesellschaft für Freiheitrechte (GFF), 
die die erwähnten Klagen begleitet, nur 


UK; Panda Mery; quintessenz - Verein 
zur Wiederherstellung der Bürgerrech- 
te im Informationszeitalter, Austria; 
Republikanischer Anwältinnen- und 
Anwälteverein e. V., Germany; Selbstbe- 
stimmt.Digital, Germany; Statewatch, 
UK; Vereinigung Demokratischer Juris- 
tinnen und Juristen e.V. (VDJ), Germa- 
ny; Vrijschrift, Netherlands; Working 
Group on Data Retention (Arbeitskreis 
Vorratsdatenspeicherung), Germany; 
Xnet, Spain 


etwa 30% der durchgeführten Daten- 
auswertungen überhaupt im Asylver- 
fahren zu Rate gezogen werden. Steht 
beim Auslesen der Daten aber noch 
nicht fest, ob sie später auch genutzt 
werden, kommt dies einer Vorratsdaten- 
speicherung gleich. 

Eine Überprüfung des Verfahrens, 
d.h. seiner Rechtsgrundlagen und 
praktischen Handhabung, ist dringend 
geboten. Eine Anfrage der Fachgruppe 
an den Bundesbeauftragten für Da- 
tenschutz und Informationsfreiheit 
(BfDI), der die Datenträgerauswertung 
überprüft, blieb Anfang Februar 2020 
noch ohne Ergebnis, weil die Prüfung 
noch andauere. Einer ersten gericht- 
lichen Erörterung könnte die Recht- 
mäßigkeit der Datenverarbeitung jetzt 
anlässlich der vor den Verwaltungsge- 
richten Hannover, Berlin und Stuttgart 
eingeleiteten Klageverfahren unterzo- 
gen werden. 

Die Fachgruppe beobachtet mit 
Sorge, dass Verfahrensneuerungen 
wie jetzt die Smartphoneanalyse wie- 
der einmal an den Schwachen und 
Schwächsten der Gesellschaft erprobt 
werden. Es ist müßig daran zu erin- 
nern: Die Grundrechte auf Privatleben 
und Datenschutz gelten unabhängig 
von Nationalität und Herkunft. 
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Werner Hülsmann 


20. BigBrotherAwards-Verleihung 


Die Veranstaltung 


Dieses Jahr fand die 20. BigBrother- 
Awards-Verleihung in Bielefeld statt. 
Was ursprünglich als großes Jubilä- 
umsfest im April dieses Jahres geplant 
war, wurde coronabedingt in den Sep- 
tember verlegt und in einem kleinen, 
überschaubaren Rahmen durchge- 
führt. Verzichtet werden musste unter 
anderem auf „die rappelvollen Reihen 
im Publikum (...) und die anregenden 
Gespräche beim Sektempfang nach der 
Verleihung.” Aber auch unter diesen 
Bedingungen war die Verleihung der 
„Oscars für Überwachung” eine beein- 
druckende Veranstaltung mit einem per 
Videobotschaft übermittelten Grußwort 
von Gerhard Baum (Bundesinnenminis- 
ter von 1978 bis 1982). 


Die PreisträgerInnen 


Alle Laudationen zu den nachfolgend 
genannten PreisträgerInnen finden Sie 
auf https://bigbrotherawards.de/2020. 


Kategorie „Mobilität” 

Tesla, vertreten durch die Tesla Ger- 
many GmbH, München. Eine überarbei- 
tete Version der Laudatio ist im Artikel 
„Tesla - Überwachungsmobil und Da- 
tenschleuder” von Thilo Weichert in 
dieser DANA-Ausgabe abgedruckt. 


Kategorie „Behörden und 
Verwaltung” 

In dieser Kategorie geht der Big- 
BrotherAward 2020 an den Innenminis- 
ter des Landes Brandenburg, Michael 
Stübgen, und seinen Vorgänger Karl- 
Heinz Schröter. „Prämiert” werden sie 
für die dauerhafte Speicherung von Au- 
tokennzeichen. 


Kategorie „Bildung” 

Den BigBrotherAward in der Kate- 
gorie „Bildung“ erhalten die Firmen 
BrainCo und der Leibniz-Wissenschafts- 
campus Tübingen. Die Firma BrainCo 
wird für ihre EEG-Stirnbänder „ausge- 
zeichnet”, die mittels Gehirnstrommes- 
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Laudatio von Dr. Thilo Weichert - Foto von Fabian Kurz, CC BY-SA 4.0 


sung angeblich die Konzentration von 
SchülerInnen messen können. Leibniz- 
Wissenschaftscampus Tübingen erprobt 
eine ähnliche EEG-Technik kombiniert 
mit Eyetracking auch in Deutschland. 
„Das ist Dressur statt Bildung.” 


Kategorie „Politik“ 

Wegen ihrer rechtlichen und politi- 
schen Mitverantwortung für den völker- 
rechtswidrigen US-Drohnenkrieg erhält 
die Bundesregierung (CDU/CSU-SPD) 
den Negativpreis in der Kategorie „Poli- 
tik“. Dieser Drohnenkrieg wird über die 
Datenrelais- und Steuerungsstation der 
US-Militärbasis Ramstein/Pfalz abgewi- 
ckelt wird. 


Kategorie „Digitalisierung“ 

Die Verlegung der BigBrother- 
Award-Verleihung 2020 vom April in 
den Herbst führte zu einer weiteren 
Preisträgerin, die sich erst im Sommer 
„qualifiziert“ hat: Weil sie wesentliche 
Dienste der Digitalen Bildungsplatt- 
form des Landes Baden-Württemberg 
von Microsoft betreiben lassen will, 
erhält die Bildungsministerin des Lan- 
des Baden-Württemberg, Susanne Ei- 
senmann, den BigBrotherAward 2020 
in der Kategorie „Digitalisierung“. Die 
Laudation hierzu hat es im Nachgang 
sogar auszugsweise in den Bildungs- 
ausschuss des Ministeriums geschafft 
und wurde dort diskutiert. 


Kategorie „Arbeitswelt” 

Der BigBrotherAward 2020 in der Ka- 
tegorie „Arbeitswelt“ geht verdienter- 
weise an die H&M Hennes & MauritzB.V. 
& Co. KG (H&M) in Hamburg „für jahre- 
lange, hinterhältige und rechtswidrige 
Verarbeitung von Beschäftigtendaten 
im H&M-Kundencenter in Nürnberg”. 
Dort hat H&M im Rahmen von Pausen- 
gesprächen Daten über Krankheiten von 
MitarbeiterInnen gesammelt. Das fand 
auch die zuständige Datenschutzauf- 
sichtsbehörde nicht lustig. Der Hambur- 
gische Beauftragte für Datenschutz und 
Informationsfreiheit verhängte gegen 
H&M ein Bußgeld in Höhe von 35,3 Mil- 
lionen Euro wegen diesen Datenschutz- 
verstößen!. 


Kategorie „Geschichtsvergessenheit” 
Die Innenministerkonferenz der Bun- 
desrepublik Deutschland (IMK) hat die 
Absicht, auf der Basis der Steuer-Iden- 
tifikationsnummer eine lebenslang gül- 
tige Personenkennziffer einzuführen. 
Eine eindeutige Personenkennziffer wi- 
dersprich nicht nur dem Grundgesetz. 
„Derartige Personenkennziffern wurden 
in den zwei Diktaturen auf deutschem 
Boden - im Nazideutschland und in 
der DDR - zur Erfassung, zur Repressi- 
on bis hin zur Vernichtung genutzt“. 
Für dieses Vorhaben erhält die IMK den 
BigBrotherAward 2020 in der Kategorie 
„Geschichtsvergessenheit”. 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund/Europa 


Mehr deutsche Behörden 
erhalten Zugriff auf SIS 


Das Schengener Informationssystem 
(SIS), das bislang der Polizei vorbehal- 
ten war, wird für Tausende weiterer Be- 
hörden geöffnet. An das zentrale euro- 
päische Fahndungssystem werden auch 
Ausländerbehörden, Auswärtiges Amt, 
Botschaften und Zulassungsstellen für 
Fahr-und Flugzeuge sowie Schiffe ange- 
schlossen. Im SIS schreiben Polizei, Zoll 
und Justiz aus EU-Staaten sowie Island, 
Schweiz, Norwegen und Liechtenstein 
Menschen zur Fahndung aus: Schwerver- 
brecher, Terrorverdächtige, jugendliche 
Ausreißer. Auch verschwundene und ge- 
stohlene Gegenstände wie Waffen oder 
Autos werden ins System eingespeist. 
Einreiseverbote werden im System ge- 
speichert. Fingerabdrücke, Gesichtsbil- 
der und DNA-Profile können im System 
hinterlegt werden. Deutschland setztnun 
mehrere EU-Verordnungen um, um das 
SIS in seiner nächsten Stufe auszubauen. 

Mit dem geplanten Umbau verschmel- 
zen die Datenpools, auf die Polizei- und 
Migrationsbehörden zugreifen, wei- 
ter. Das Bundesamt für Migration und 
Flüchtlinge (BAMF) sowie alle Auslän- 
derbehörden werden dem Bundesin- 
nenministerium (BMI) zufolge an das 
SIS angebunden. Sie sollen das System 
für „ausländerrechtliche Ausschreibun- 
gen” nutzen. Asylbewerber können sich 
im Gegensatz zu praktisch allen ande- 
ren Menschen in Deutschland nicht frei 
bewegen. Deshalb kann nicht nur nach 
ihnen gefahndet werden, wenn sie aus- 
reisepflichtig sind, sondern auch, wenn 
sie etwa eine Woche lang nicht in ihrer 
Unterkunft auftauchen. 

Gemäß den Antworten des BMI auf 
Anfragen der Linken-Fraktion können 
bald 2.000 Behörden dasSystem nutzen. 
Wie viele Personen damit an die sensib- 
len Daten kommen können, wird nicht 
verraten. Das Kraftfahrtbundesamt und 
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über dieses die Zulassungsstellen für 
Kfz, Luftfahrtbundesamt, Wasser- und 
Schifffahrtsämter sollen ebenfalls an- 
gebunden werden, von 2021 an auch 
lokale Waffenbehörden. 94 Mitarbeiter, 
unter anderem aus Bundespolizeibehör- 
den, BAMF und externen Unternehmen, 
arbeiteten daran, die vielen Behörden 
im SIS zusammenzuschließen. 

Der Bundestagsabgeordnete Andrej 
Hunko (Linke) sieht den Ausbau von 
Datenbanken der Sicherheitsbehörden 
kritisch: „Aus Deutschland kennen wir 
nicht endende Berichte, dass Polizei- 
datenbanken für Voyeurismus, Stalking 
oder rechtsextreme Umtriebe zweckent- 
fremdet werden. Ich stehe der geplan- 
ten Ausweitung deshalb äußerst skep- 
tisch gegenüber. Mich besorgt auch der 
Zuwachs nichtpolizeilicher Behörden. 
Ich erwarte nicht nur mehr Suchläu- 
fe im SIS, sondern auch mehr Einträge 
zur Fahndung. Dies mag in vielen Fällen 
sinnvoll erscheinen, öffnet aber Scheu- 
nentore für den Missbrauch.” Tatsäch- 
lich hatten EU-Inspektoren 2017 fest- 
gestellt, dass Beamte aus Großbritan- 
nien illegale Kopien der SIS-Datenbank 
angefertigt hatten (Brühl, Fahnden mit 
der Superdatenbank, SZ 30.10.2020, 
6; Europäische Union: Die Super- 
Fahndungsdatenbank kommt, www. 
suedeutsche.de 29.10.2020). 


Bund 


BMI-Referentenentwurf für 
Personenkennziffer 


Nachdem sich die große Koalition 
auf Eckpunkte für einen virtuellen Zu- 
sammenschluss der Melderegister und 
zahlreicher anderer behördlicher Da- 
tenbanken geeinigt hat, wurde vom 
Bundesinnenministerium (BMI) ein 
Referentenentwurf zur „Einführung 
einer Identifikationsnummer in die öf- 
fentliche Verwaltung“ (Stand Juli 2020) 
vorgelegt, wonach die Steuer-ID zu ei- 


ner allgemeinen Bürgernummer für alle 
möglichen Ämter erweitert werden soll. 
Mit der Identifikationsnummer sollen 
die mit dem Onlinezugangsgesetz (07G) 
vorgesehenen E-Government-Dienste 
mithilfe der relevanten Verwaltungsre- 
gister von Bund und Ländern umgesetzt 
werden. Die Kennung soll gewährleis- 
ten, dass sogenannte Basisdaten natür- 
licher Personen „von einer dafür verant- 
wortlichen Stelle auf Inkonsistenzen 
geprüft, verlässlich gepflegt, aktuali- 
siert und bereitgestellt werden“. 

Die Registermodernisierung soll über 
eine übergreifende Suchmaske erfolgen. 
Um den gewünschten Datensatz anhand 
grundlegender Informationen wie Name 
und Anschrift in unterschiedlichen Re- 
gistern von Bund und Ländern finden zu 
können, soll die Personenkennziffer nö- 
tig sein. Dabei will das Ministerium Vor- 
arbeiten der Innenministerkonferenz 
(IMK) entsprechend (DANA 1/2020, 
48 f.) „auf die vorhandenen Strukturen 
der Steuer-Identifikationsnummer“ auf- 
setzen und diese „um die für einregiste- 
rübergreifendes Identitätsmanagement 
notwendigen Elemente” ergänzen. 

Nur eine eindeutige ID, „die in allen 
Registern gleichermaßen vorliegt“, 
ermögliche eine medienbruchfreie, 
verwaltungsübergreifende und nutzer- 
freundliche Kommunikation. Ohne ein 
solches Ordnungskriterium könne der 
Grundsatz „once only“ nicht umgesetzt 
werden, wonach die Bürger ihre Daten 
der Verwaltung nur einmal geben müs- 
sen. Dies entspreche auch dem Gebot der 
Datenminimierung. Um zu vermeiden, 
dass Profile erstellt werden, dürfe die 
ID selbst keine Rückschlüsse auf ande- 
re persönliche Informationen zulassen. 
Als zentrale Relaisstation soll das Bun- 
desverwaltungsamt (BVA) dienen und 
dafür zur „Registermodernisierungsbe- 
hörde” ausgebaut werden. Es soll beim 
Bundeszentralamt für Steuern (BZSt) 
gespeicherte Daten zur Steuer-ID im au- 
tomatisierten Verfahren abrufen und im 
Sinne des 0ZG an registerführende sowie 
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andere öffentliche Stellen übermitteln 
dürfen. Der Transfer soll über eine Ende- 
zu-Ende-Verschlüsselung abgesichert 
werden. 

Bei Datenabrufen prüfe die als „dritte 
Stelle“ zwischengeschaltete Behörde au- 
tomatisiert bei jedem Aufbau einer Ver- 
bindung anhand sicherer Authentifizie- 
rungsverfahren die Identität des abru- 
fenden Amts, über die „kein Zweifel be- 
stehen” dürfe. Näheres zum technischen 
Verfahren soll das Innenministerium per 
Verordnung festlegen können. Der Bun- 
desdatenschutzbeauftragte soll die Be- 
hörde regelmäßig überprüfen können, 
das Gesetz soll nach drei Jahren mithilfe 
von „wissenschaftlichem Sachverstand” 
durch das Innenressort evaluiert werden. 
Derart verknüpft werden sollen so unter 
anderem Melderegister, das Ausländer- 
zentralregister sowie Datenbanken etwa 
für Führerschein-, Waffen- oder eID- 
Kartenbesitzer. Dazu kämen etwa auch 
das Schuldner- und Anwaltsverzeichnis 
sowie Register für Wohngeld- und Bafög- 
Empfänger. Die vorgesehenen Basisda- 
ten umfassen Informationen wie Namen, 
Geburtsort und -datum, Geschlecht, 
Anschriften, Tag des Ein- oder Auszugs 
sowie Staatsangehörigkeiten. Auch eine 
mögliche Auskunftssperre für besonders 
schützenswerte Personen soll vermerkt 
werden. Große Unterschiede zu den der- 
zeit über Melderegister abrufbaren Merk- 
malen gibt es demnach nicht. 

Aktuelle Basisdaten zu natürlichen 
Personen seien, so der Entwurf, ein zen- 
trales Anliegen. Werde die Verwaltung 
digitalisiert, müsse im Interesse aller 
Beteiligten gewährleistet sein, dass 
Personenverwechslungen ausgeschlos- 
sen und vorhandene Datenbestände den 
Bürgern fehlerfrei zugeordnet werden 
könnten. Für die Transparenz gegenüber 
den Bürgern soll ein „Datencockpit” sor- 
gen, das eine „einfache, transparente 
und zeitnahe Wahrnehmung der Betrof- 
fenenrechte” nach der Datenschutz- 
Grundverordnung (DSGVO) ermögliche. 

Für Datenschützer ist ein allgemeines 
Personenkennzeichen ein rotes Tuch. 
Sie bemängeln seit Langem, dass die 
Steuer-ID entgegen ursprünglichen po- 
litischen Beteuerungen zunehmend in 
den verschiedensten Lebensbereichen 
verwendet wird. Der Bundesdaten- 
schutzbeauftragte Ulrich Kelber lehnt 
den vorgesehenen Ansatz auch aus 
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verfassungsrechtlichen Gründen ab. Es 
bestehe die Gefahr einer „vollständigen 
Registrierung und Katalogisierung der 
Persönlichkeit“. Der Normenkontrollrat 
hatte in seiner Blaupause zur Register- 
modernisierung 2017 auf eine daten- 
schutzfreundlichere Variante nach dem 
Vorbild Österreichs verwiesen. 

Das BMI räumt ein, dass es um einen 
„Eingriffin das Recht aufinformationel- 
le Selbstbestimmung” der Bürger geht. 
Dieser sei aber „insgesamt verfassungs- 
rechtlich gerechtfertigt, weil in der re- 
gisterunterstützten und datenbankba- 
sierten Verwaltung ein hohes Bedürfnis 
für eine eineindeutige Zuordnung von 
Datensätzen zu der jeweils richtigen 
Person besteht“. Die einmaligen Kosten 
für den Aufbau einer vernetzten Regis- 
terstruktur schätzt das Haus von Horst 
Seehofer (CSU) aufetwa 915,7 Millionen 
Euro (Krempl, Vernetzte Register: See- 
hofer macht Ernst mit Steuer-ID als Bür- 
gernummer, www.heise.de 25.08.2020, 
Kurzlink: https://heise.de/-4878923). 


Bund 


Quellen-TKÜ für Geheim- 
dienste 


Nach langem Ringen bekommt der 
Bundesinnenminister ein Gesetz, mit 
dem auch das Bundesamt für Verfas- 
sungsschutz (BfV) Trojaner einsetzen 
darf, um Verdächtige auszuspähen. Das 
Bundeskabinett hat am 21.10.2020 die 
Novelle des Verfassungsschutzgesetzes 
sowie weiterer Geheimdienstgesetze be- 
schlossen. Damit sollen die deutschen 
Verfassungsschützer sowie der Militä- 
rische Abschirmdienst (MAD) und der 
Bundesnachrichtendienst (BND) künf- 
tig Software zur Überwachung von Ver- 
dächtigen einsetzen dürfen, den so ge- 
nannten Staatstrojaner. Polizeibehörden 
nutzen diese „Quellen-TKÜ” genannte 
Methode der Telekommunikationsüber- 
wachung (TKÜ) bereits. In einem State- 
ment aus seinem Ministerium nennt 
Bundesinnenminister Horst Seehofer 
das Gesetz einen „überfälligen Schritt im 
Kampf gegen Terroristen und militante 
Extremisten”: „Wir brauchen einen Ver- 
fassungsschutz, der auch im digitalen 
Zeitalter sehen und hören kann. Nur 
so können wir den extremistischen Ge- 


schwüren in unserer Gesellschaft etwas 
entgegensetzen.” Das Gesetz muss noch 
vom Bundestag gebilligt werden. 

Ein Sprecher des SPD-geführten Bun- 
desjustizministeriums sagte, es handele 
sich insgesamt um eine „maßvolle Kom- 
petenzerweiterung” bei einer gleichzei- 
tigen Stärkung der parlamentarischen 
Kontrolle, so wie im Koalitionsvertrag 
vorgesehen. Der vom Kabinett gebil- 
ligte Entwurf aus dem Bundesinnenmi- 
nisterium sieht auch einen erweiterten 
Austausch von Informationen zwischen 
dem MAD und den Verfassungsschutz- 
behörden vor. Das soll vor allem helfen, 
rechtsextreme Bundeswehrangehörige 
und Reservisten besser als bisher zu 
identifizieren. 

Die Opposition warf der SPD vor, sich 
auf einen schlechten Deal eingelassen 
zu haben. Sie vermutet, die SPD habe 
dem Gesetz nach langem Ringen zuge- 
stimmt, um von der Union eine eben- 
falls umstrittene Studie zu Rassismus 
in der Polizei zu bekommen. Der Grü- 
nen-Netzexperte Konstantin von Notz 
sagte: „Dieser Deal ist schlecht für un- 
sere Bürgerrechte und geht direkt auf 
Kosten unserer Verfassung.” Statt eine 
noch ausstehende Entscheidung des 
Bundesverfassungsgerichts zum Ein- 
satz des Staatstrojaners bei der Polizei 
abzuwarten, weite die Regierung „das 
hochumstrittene Instrument” nun auch 
noch auf den Geheimdienstbereich aus. 

Die Überwachung der klassischen 
Telekommunikation, also etwa des Te- 
lefons, ist seit Langem Teil des Reper- 
toires des Inlandsgeheimdienstes, um 
Verfassungsfeinden nachzuspüren. Seit 
die Kommunikation sich vom Festnetz- 
telefon über Handys hin zu Messengern 
verlagert hat, hilft diese Befugnis im- 
mer weniger. Nachrichten auf Whatsapp 
und in anderen Messenger-Diensten 
sind Ende-zu-Ende verschlüsselt. Kryp- 
tografie, die früher nur beim Militär und 
bei Geheimdiensten eine Rolle spielte, 
ist auf Smartphones jetzt für jedermann 
verfügbar: Whatsapp-Nachrichten etwa 
werden auf dem Telefon des Senders 
verschlüsselt, über die Leitungen von 
Vodafone, Telekom oder 02 fließt nur 
Buchstabensalat. Erst beim Empfänger 
wird die Nachricht wieder entschlüsselt. 
Ein Ableiten der Kommunikation an In- 
ternetknoten oder eine Nachfrage beim 
Netzbetreiber hilft also nicht mehr. 
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Der Staatstrojaner soll die durch Ver- 
schlüsselung für den Massenmarkt ent- 
standene Informationslücke der Behör- 
den schließen. Damit werden heimlich 
Programme auf die Telefone der Zielper- 
sonen gespielt; dort werden die Nach- 
richten schon vor der Verschlüsselung 
abgegriffen und ausgeleitet. Dasist deut- 
lich aufwändiger, als eine Telefonleitung 
abzuhören, aber potenziell auch deutlich 
mächtiger. Ist das Programm einmal auf 
dem Smartphone eines Ziels installiert, 
könnten die Verfassungsschützer nicht 
nur die gerade stattfindende Kommuni- 
kation sehen, sondern die gesamten auf 
dem Handy gespeicherten Daten. 

Das Bundesinnenministerium hät- 
te sich für die Novelle deshalb auch die 
sogenannte Online-Durchsuchung ge- 
wünscht - den Zugriff auf alle Daten auf 
den Telefonen. Die SPD kann sich auf 
die Fahnen schreiben, diesen tieferen 
Eingriff in die Privatsphäre verhindert 
zu haben. Ansehen dürfen Verfassungs- 
schützer demnach lediglich Kommuni- 
kation ab dem Zeitpunkt der Anordnung 
der TKÜ. Doch auch das kann je nach 
Zeitpunkt der Aufspielung des Troja- 
ners bereits weit in der Vergangenheit 
liegen. Kritiker fragen, wer (außer dem 
Gesetz) Verfassungsschützer daran hin- 
dert, dann mal einen Tag weiter in der 
Whatsapp-Historie zurückzublicken als 
eigentlich zulässig. 

Durchgesetzt hat sich der Bundesin- 
nenminister darin, dass die Netzbetrei- 
ber die Behörden bei der Installation 
der Schnüffel-Software unterstützen 
müssen. Andernfalls müsste der Verfas- 
sungsschutz die Telefone der Zielper- 
sonen stehlen und gezielt präparieren. 
Jetzt sollen Mobilfunkanbieter verpflich- 
tet werden, ein Update mit dem Schad- 
programm zu schicken. Kontrollieren 
soll die TKÜ-Wünsche des BfV die schon 
bisher für Belange der Geheimdienste 
zuständige G-10-Kommission (benannt 
nach dem Grundgesetz-Artikel 10), die 
auf insgesamt zehn Mitglieder vergrö- 
ßert werden soll. Zudem soll ein techni- 
scher Berater die Kommissionsmitglieder 
unterstützen. 

Ulf Buermeyer, Vorsitzender der Ge- 
sellschaft für Freiheitsrechte (GFF), kriti- 
sierte den beschlossenen Gesetzentwurf 
deutlich. Zum einen sei die Kontrolle 
durch die G-10-Kommission deutlich 
löchriger als bei der TKÜ für die Polizei- 
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behörden, bei der immer ein Richter zu- 
stimmen muss und bei der Ermittlungs- 
ergebnisse in Akten auftauchen. Zum 
anderen sei das Gesetz unnötig: Für Vor- 
feldbeobachtungen, wie sie der Verfas- 
sungsschutz klassischerweise durchfüh- 
ren soll, sei die TKÜ verfassungsrechtlich 
gar nicht zulässig. Beim Verdacht tat- 
sächlicher Straftaten könne genauso gut 
die Polizei ermitteln. Die GFF denke des- 
halb bereits über eine Klage nach, sollte 
das Gesetz wie geplant in Kraft treten. 
Der deutsche Staatstrojaner war bisher 
ein Flop. Seit einem Jahrzehnt basteln 
Behörden an immer neuen Varianten der 
Software, die Polizisten in Handys und 
Computer einschleusen, um Verdächtige 
auszuspähen. Manche Variante konnte 
nurdieüberholte Technik wie Skype über- 
wachen, der zumindest intelligente Kri- 
minelle längst abgeschworen hatten. Ge- 
nutzt wurden Trojaner kaum. 2019 wurde 
bekannt, dass der Generalbundesanwalt 
in keinem einzigen seiner Terrorverfah- 
ren solche Software eingesetzt hatte. Da- 
bei ist sie dem Bundesinnenminister zu- 
folge angeblich die einzige Möglichkeit, 
Extremisten zu überführen. Sollten die 
Geheimdienste in ihrem Schattenreich 
mehr mit der Technik anfangen können 
als die Polizei, droht aber, dass die Über- 
wachung in die Tiefe geht, da Ermittler 
in Chats auf Smartphones mehr abgreifen 
können als z.B. in einer aufgebroche- 
nen Wohnung, etwa private Fotos oder 
intime Sprachnachrichten. Die Kontrol- 
le der Dienste ist wegen deren Geheim- 
niskrämerei viel schwieriger als die der 
Polizei. Parlament und Geheimdienst- 
aufseher müssen deshalb genau hinse- 
hen (Muth, Staatstrojaner für Verfas- 
sungsschützer, SZ 22.10.2020, 5; Brühl, 
Ein Flop macht Karriere, SZ 22.10.2020, 
4; Kabinett will Geheimdiensten Zu- 
griff auf Messenger-Nachrichten geben, 
www.heise.de 21.10.2020, Kurzlink: 
https://heise.de/-4934988). 


Bund 


Kanzleramts-Vorschläge 
zur BND-Kontrolle 


Das Bundeskanzleramt hat einen 
111-seitigen Gesetzentwurf zur Kon- 
trolle des Bundesnachrichtendienstes 
(BND) vorgelegt, mit dem den Vorga- 


ben des Bundesverfassungsgerichts 
(BVerfG) entsprochen werden soll. Im 
Zentrum des Vorschlags steht ein „Un- 
abhängiger Kontrollrat”. In Deutsch- 
land wird der Begriff „Kontrollrat“ bis- 
her assoziiert mit dem Gremium der Sie- 
germächte. Dieser war nach dem Ende 
des Zweiten Weltkrieges als „Alliierter 
Kontrollrat” die oberste Besatzungsbe- 
hörde, die den Ausstieg des Landes aus 
dem Nationalsozialismus kontrollierte. 

Nach dem Willen des Kanzleramts soll 
es von Januar 2022 an den Kontrollrat 
als oberste Bundesbehörde geben, in 
dem sechs Bundesrichter und Bundes- 
anwälte darüber wachen sollen, dass der 
BND bei seinen weltweiten Abhöraktio- 
nen streng nach Recht und Gesetz han- 
delt. Sieben Jahre nach den Enthüllun- 
gen des Whistleblowers Edward Snow- 
den hat das Kanzleramt am 26.09.2020 
den Gesetzentwurf in die sogenannte 
Ressortabstimmung gegeben. Das Kabi- 
nett beschließt daraufhin den Entwurf 
und legtihn dem Parlament zur Debatte 
und Abstimmung vor. 

Die Änderung des BND-Gesetzes ist 
notwendig, weil die Karlsruher Verfas- 
sungsrichter die Regierung dazu zwan- 
gen. In einem Urteil vom 19.05.2020 
hatte das BVerfG entschieden, dass die 
bis dahin geltende Praxis, Ausländer im 
Ausland ohne jede Einschränkung ab- 
hören zu können, nicht mit dem Grund- 
gesetz (GG) zu vereinbaren sei (Az. 1 
BvR 2835/17; DANA 3/2020, 202 ff.). 
Die rechtsstaatlichen Kontrollen des 
Dienstes seien insgesamt viel zu halb- 
herzig. Zu Unrecht ziehe sich der BND 
etwa auf das Argument zurück, seine 
Absprachen mit Diensten wie dem US- 
Abhörgiganten NSA seien zu geheim, um 
sie je Richtern zu zeigen. Rechtsstaatli- 
che Sicherungen und nachvollziehbare 
Begründungen seien gefordert. Dies 
müsse unabhängig überwacht werden. 
Seither brüteten Regierungsjuristen 
und Experten der beim BND für das 
Abhörgeschäft zuständigen Abteilung 
„Technische Aufklärung” über dem Ur- 
teil. Dass es auf 145 Seiten mit insge- 
samt 331 Randnummern detailliert ist, 
machte die Spielräume für das Gesetz 
eng und schafft Klarheit, was geht und 
was nicht mehr geht. 

Das Kanzleramt versucht nun, den 
Vorgaben aus Karlsruhe zu entsprechen: 
Der neue „Unabhängige Kontrollrat” soll 
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sich alles ansehen dürfen, was der BND 
weltweit unternimmt. Er soll größere 
Überwachungsaktionen wie die „stra- 
tegische” Aufklärung, das heißt die 
verdachtsunabhängige Durchsuchung 
kompletter Telefonnetze, genehmigen 
müssen ebenso wie kleinere Überwa- 
chungsmaßnahmen. Er soll alle vom 
BND verwendeten Suchbegriffe prüfen 
dürfen, selbst wenn diese vom US-Ge- 
heimdienst NSA stammen. 

All das soll zwar unter größter Ge- 
heimhaltung ablaufen. Für die Mit- 
glieder des Kontrollrats gilt absolute 
Verschwiegenheit. Aber die sechs Ju- 
risten sollen intern ganz unabhängig 
arbeiten und entscheiden können. Vier 
von ihnen sollen Bundesrichter, zwei 
Bundesanwälte sein. Gemeinsam sollen 
sie zwei dreiköpfige „Kammern“ bilden 
und einen fünfköpfigen „Senat“. Ge- 
sucht werden juristische Fachleute, die 
überparteilich Anerkennung finden: Die 
Präsidentin des Bundesgerichtshofs soll 
sie nominieren, das Parlamentarische 
Kontrollgremium des Bundestages dann 
für je sechs Jahre wählen, das Bundes- 
kabinett die Personalie nur noch abni- 
cken. Die Regierung versichert, dies sei 
eine reine Formalie. Auch Richter am 
Bundesgerichtshof müssten schließlich 
offiziell vom Kabinett ernannt werden, 
ohne dass dies ihre Unabhängigkeit 
schmälere. Die Mitglieder des Kontroll- 
rats sollen künftig von 25 Mitarbeitern 
unterstützt werden. Auch dies folgt 
einer ziemlich genauen Vorgabe des 
Bundesverfassungsgerichts. Damit soll 
wirkliche Schlagkraft entstehen. Bis- 
lang gab es nur ein aus drei Juristen 
bestehendes „Unabhängiges Gremium” 
mit Sitz in Karlsruhe, um die gesam- 
te strategische Aufklärung des BND zu 
kontrollieren. Ein größeres Zugeständ- 
nis hatte die Bundesregierung den BND- 
Kritikern bei der letzten BND-Reform 
2016 nicht machen wollen. Zudem hat- 
ten diese drei Juristen ihre Aufgabe nur 
im Nebenamt wahrgenommen. 

Der Entwurf regelt auch die Online- 
Durchsuchung durch den BND im Aus- 
land, also die Durchsuchung von Smart- 
phones und Laptops mithilfe von Troja- 
nersoftware. Die Methode wird in der SPD 
und der Opposition teils sehr kritisch 
gesehen. Zugleich wird eine gerichtli- 
che Kontrolle eingeführt, die es in dieser 
Intensität noch nirgends gibt: Bevor der 
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BND im Ausland ein Handy ausspioniert, 
muss er künftig immer erst die Genehmi- 
gung des Kontrollrats einholen. Selbst in 
Eilfällen muss zumindest ein Einzelrich- 
ter dort entscheiden. 

Ein Streitpunkt betrifft noch die Fra- 
ge, wer dem BND künftig auf die Finger 
schauen soll, ob er sich an die Entschei- 
dungen des Kontrollrats auch wirklich 
hält. Das ist eine Aufgabe nicht für Ju- 
risten, sondern für Informatiker. Der 
Bundesdatenschutzbeauftragte (BfDI) 
Ulrich Kelber (SPD) würde das gern 
übernehmen. In seiner Behörde gibt es 
technische Fachleute, die sich in die 
Rechner des BND einklinken und dort 
stichprobenhaft die Abläufe überprü- 
fen könnten. Das BVerfG hat diese Ar- 
beit in seinem Urteil als „administrative 
Rechtskontrolle” bezeichnet. Das Kanz- 
leramt sieht offenbar Probleme, wenn 
Mitarbeiter des Datenschutzbeauftrag- 
ten mit ins Spielkommen: Vor allem aus- 
ländische Nachrichtendienste könnten 
befürchten, dass die unbedingte Ver- 
traulichkeit nicht gewährleistet bleibt. 
Der BfDI kontrolliert schon bisher den 
BND, ohne dass Indiskretionen bekannt 
geworden sind. Der Gesetzentwurf des 
Kanzleramts schlägt stattdessen vor, 
dass der Kontrollrat selbst Informatiker 
einstellt. Er werde auch schlagkräftiger 
sein, wenn alle, auch die technischen, 
Kompetenzen in seiner Hand gebündelt 
statt schon wieder zersplittert würden. 

Die Karlsruher Richter haben be- 
sonders darauf hingewiesen, dass die 
Pressefreiheit ohne den Schutz von In- 
formanten leerlaufen würde. Deshalb 
ist „ein gezieltes Eindringen in solche 
schutzwürdige Vertraulichkeitsbezie- 
hungen“ von Journalisten künftig nur 
noch mit besonders gewichtiger Be- 
gründung erlaubt. Die Überwachung 
von Journalisten wird im Gesetzentwurf 
nun zwar stark eingeschränkt, ist aber 
weiter nicht vollständig unmöglich. Im 
Ausnahmefall und zur Abwehr „schwer- 
wiegender Gefahren“ für die außenpoli- 
tischen Interessen der Bundesrepublik 
kann die vertrauliche Kommunikation 
von ausländischen Journalisten im Aus- 
land belauscht werden. Ob diese Um- 
setzung des Urteils des BVerfG den Ver- 
bänden wie Reporter ohne Grenzen oder 
der Gesellschaft für Freiheitsrechte, die 
das BVerfG-Urteil erstritten, ausreichen 
wird, wird sich zeigen. Sie sollen schon 


bald zu dem Entwurf angehört werden. 

Der Fraktionsvize der Grünen, Kon- 
stantin von Notz, begrüßte, dass die 
Regierung „sich auf den Weg macht” 
die Überwachung der elektronischen 
Kommunikation im Ausland „endlich 
rechtsstaatlich auszugestalten“. Der 
FDP-Abgeordnete Stephan Thomae 
sprach ebenfalls von einem Fortschritt, 
wandte aber ein, dass die Bundesregie- 
rung die Chance verpasse gleich „die 
Nachrichtendienstkontrolle insgesamt 
neu zu ordnen“. Der Fraktionsvize der 
Linken, Andre Hahn, kritisierte, durch 
dieses neue Gremium werde insgesamt 
ein Stück Kontrollmacht vom Parlament 
weg verlagert (Mascolo/Steinke, Spio- 
ne unter Beobachtung, SZ 28.09.2020, 
5; Lob und Kritik für BND-Gesetz, SZ 
29.09.2020, 6). 


Bund 


Anti-Morphing und Finger- 
abdrücke künftig im Perso- 
nalausweis 


Am 26.10.2020 wurde im Innenaus- 
schuss des Bundestags im Rahmen ei- 
ner Expertenanhörung der Entwurf für 
ein „Gesetz zur Stärkung der Sicherheit 
im Pass-, Ausweis- und ausländerrecht- 
lichen Dokumentenwesen“ erörtert. Der 
Entwurf sieht vor, dass beim Personal- 
ausweis ab August 2021 die Abdrücke 
der beiden Zeigefinger verpflichtend 
aufgenommen werden. Durch Regelun- 
gen zur Erstellung der Lichtbilder im 
Ausweis soll zudem das Morphing ver- 
hindert werden, also das Erfassen von 
gefälschten biometrischen Fotos. Die 
Bundesregierung wies darauf hin, dass 
Kriminelle digitale Passbilder von bis 
zu sieben Personen mit einer Morphing- 
Software zu einem neuen Passbild ver- 
schmelzen könnten und dieses dann 
von mehreren Personen verwendet 
werden könne. In der Anhörung im In- 
nenausschuss sagte der grüne Innenpo- 
litiker Konstantin von Notz, ein solcher 
Missbrauch sei bisher nur in wenigen 
einstelligen Fällen bekannt geworden. 
Die Lichtbildmanipulation wollte die 
Bundesregierung dadurch erschweren, 
dass Passbilder nur noch unter der Auf- 
sicht von Beamten der Passbehörde ge- 
macht werden. Den Fotostudios drohte 
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damit ein erheblicher Marktanteil weg- 
zubrechen. Nach Protesten wurde der 
Gesetzentwurf dahin gehend verändert, 
dass die über 6.000 Pass- und Ausweis- 
behörden mit Kameras und Fotoautoma- 
ten ausgerüstet werden. Bürger können 
aber weiterhin Passfotos von freien Fo- 
tografen verwenden, die das Bild dann 
elektronisch über einen sicheren Kanal 
an die Behörde übermitteln müssen. 

Neu vorgesehen ist weiterhin, dass 
Bürger den linken und den rechten 
Zeigefinger für den Personalausweis 
verpflichtend erfassen lassen. Bisher 
gibt es eine Speicherpflicht von Finger- 
abdrücken seit 2007 nur in Reisepäs- 
sen, beim Personalausweis war diese 
Speicherung freiwillig. Rund 40 % der 
Bürger gaben bislang ihre Fingerabdrü- 
cke her. Die Fingerabdruckdaten sollen 
künftig im Chip des Personalausweises 
verschlüsselt gespeichert werden und 
bei Zweifeln am Foto zur Identitätskon- 
trolle genutzt werden. Eine Speicherung 
in Dateien ist nicht erlaubt. Die Behörde 
muss die Datei mit dem Fingerabdruck 
an dem Tag löschen, an dem der Bürger 
seinen neuen Ausweis abholt. 

Die Anhörung im Innenausschuss 
zeigte einige Kritikpunkte an dem Vor- 
haben auf. Friedemann Ebelt von der 
Bürgerrechtsorganisation Digitalcoura- 
ge sieht in der Erfassung des Fingerab- 
drucks einen „Generalverdacht gegen 
Bürgerinnen und Bürger“. Aus seiner 
Sicht ist das Vorhaben unverhältnismä- 
ßig, da es nur in seltenen Einzelfällen 
begründete Zweifel am Lichtbild gibt. 
Aus Sicht von Digitalcourage ist die 
Erfassung der Fingerabdrücke nicht 
nötig, um die Fälschungs- und Manipu- 
lationssicherheit der Personalausweise 
zu erhöhen: „Die geplante Fingerab- 
druckpflicht hat im Grundgedanken 
nichts mit der Freizügigkeit der Bürger 
und Bürgerinnen zu tun, wie ein von 
der Bundesregierung angeführtes Ar- 
gument behauptet. Sondern es ist eine 
Pflicht, ein Zwang, also Unfreiheit.” 
Ebelt vermutet, dass mit den Fingerab- 
drücken vor allem eine zeitlich schnel- 
lere Überprüfung der Identität möglich 
gemacht werden solle. 

Der Datenschutzsachverständige Thi- 
lo Weichert wies darauf hin, dass der 
Zweck zwar die unmittelbare Identi- 
tätsfeststellung sei. Doch sei auch ein 
Fahndungsabgleich mit den im Perso- 
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nalausweis gespeicherten Fingerabdrü- 
cken möglich, weil das Gesetz dies nicht 
ausdrücklich verbiete. Weichert warnte 
davor, dass mit Erfassungsgeräten zur 
Fingerabdruckverifizierung eine unan- 
gemessene Überwachungsinfrastruktur 
aufgebaut wird. Weichert schlug vor, 
statt des oft genutzten Zeigefingers den 
Ringfinger oder den kleinen Finger zur 
Speicherung zu nutzen, da diese we- 
niger oft zum Beispiel auf Gläsern oder 
anderen Gegenständen hinterlassen 
würden und von Kriminellen für ihre 
Zwecke genutzt werden könnten. Zwar 
ist gemäß der Praxis der Internationa- 
len Zivilluftfahrt-Organisation (ICAO) 
die Erfassung des Zeigefingers in in- 
ternationalen Ausweisdokumenten wie 
Pässen üblich, doch maßgeblich für 
eine nationale Gesetzgebung sind deren 
Standards nach Auffassung Weicherts 
nicht. Weichert machte außerdem die 
Abgeordneten darauf aufmerksam, dass 
eine digitale Erfassung und Speiche- 
rung der Fingerabdrücke langfristig 
den Fingerabdruck für kriminalistische 
Zwecke entwerten könnte, falls die Da- 
ten etwa aus unzureichend gesicherten 
Systemen entwendet und von Kriminel- 
len missbraucht würden. 

Der IT-Experte Christoph Busch von 
der Hochschule Darmstadt wies darauf 
hin, dass bei der Identitätskontrolle ein 
In-sich-Abgleich des Fingers mit den auf 
dem Chip gespeicherten Daten stattfin- 
de. Weichert erläuterte, dass die einmal 
digital erfassten Daten an andere Stellen 
weitergereicht werden können. Es sei 
zu erwarten, dass die Erfassung durch 
den massenhaften Einsatz von Fast-ID- 
Geräten im Laufe der Zeit zunehme. Das 
Fast-ID-Verfahren macht es möglich, ei- 
nen Fingerabdruck innerhalb kurzer Zeit 
abzugleichen, so dass eine Person direkt 
vor Ort überprüft werden kann. 

In der Anhörung nahm außerdem die 
Diskussion kartellrechtlicher Fragen ei- 
nen breiten Raum ein. So ging es darum, 
ob private Anbieter durch die Vorrang- 
stellung der Bundesdruckerei verdrängt 
werden würden. Die Bundesdruckerei 
soll zur einzigen Lieferantin für Gerä- 
te zur biometrischen Bilderfassung in 
den Kommunen bestimmt werden. Dies 
bezeichneten die Sachverständigen 
Georg Borges von Universität des Saar- 
landes und der IT-Sicherheitsexperte 
Roland Appel als verfassungsrechtlich 


problematisch (Schulzki-Haddouti, 
Der Generalverdacht, VDI-Nachrichten 
30.10.2020, 18). 


Bund 


Löschungsfristen im 
Führungszeugnis bei 
Kindesmissbrauch werden 
hinterfragt 


Der CSU-Landesgruppenchef Ale- 
xander Dobrindt will durch einen le- 
benslangen Eintrag im erweiterten 
Führungszeugnis erreichen, dass Ver- 
urteilte nie wieder beruflichen oder 
ehrenamtlichen Umgang mit Kindern 
haben können. Es müsse dafür gesorgt 
werden, dass ein solches Urteil „dau- 
erhaft, lebenslang in das erweiterte 
Führungszeugnis eingetragen wird. 
Und nicht nur begrenzt auf zehn Jah- 
re. Wer sich an den Schwächsten unse- 
rer Gesellschaft vergeht, der darf auch 
nie wieder beruflich oder ehrenamtlich 
Umgang mit Kindern haben.” Im Febru- 
ar 2020 hatten die Bundesländer Nord- 
rhein-Westfalen, Baden-Württemberg, 
Bayern und das Saarland über den Bun- 
desrat eine Streichung der Löschungs- 
fristen eingebracht. 

Opfervereine weisen immer wieder da- 
rauf hin, wie wichtig der Eintrag „sexu- 
eller Kindesmissbrauch” im erweiterten 
Führungszeugnis sei und fordern eine 
Aufhebung der Löschfrist. Die Vorsitzen- 
de von Zartbitter, Ursula Enders, erinner- 
tedaran, dass sie und ihre Kollegen schon 
in den 90er Jahren „alle im Bundestag” 
deswegen angeschrieben hätten. Bei 
Kindesmissbrauch sei der Resozialisie- 
rung der Täter Vorrang vor den Belangen 
der Opfer gegeben worden. Seit langem 
wisse man aber, dass Tätertherapien bei 
Erwachsenen nur begrenzt erfolgreich 
seien und dass der „Erfolg“ lediglich da- 
rin bestehe, dass der Täter eine positive 
Einschätzung über sich selbst abgebe. 
Bei jugendlichen Missbrauchstätern sei 
dies anders, da hätten vor allem Grup- 
pentherapien große Erfolgsaussichten. 
Deshalb plädiert auch Enders für eine 
Beibehaltung der Löschungsmöglichkeit 
bei Jugendlichen. 

Laut Enders ist es eine „klassische 
Täterstrategie”, in pädagogische Ar- 
beitsfelder zu gehen: „Wir erleben sehr 
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häufig, dass verurteilte Missbrauchstä- 
ter immer wieder in Vereinen oder an- 
deren Einrichtungen, die mit Kindern 
und Jugendlichen arbeiten, auftau- 
chen.” Ein Problem sei, dass nicht alle 
Einrichtungen darauf vorbereitet seien. 
Private Einrichtungen wie Tanz- oder 
Musikschulen oder Anbieter von Selbst- 
verteidigungskursen ließen sich das 
Führungszeugnis oft gar nicht vorlegen. 
Enders hält es daher für unabdingbar, 
eine Pflicht zur Vorlage einzuführen. 

Dobrindt begrüßte zudem, dass die 
Justizministerin Christine Lambrecht 
(SPD) ihren Widerstand aufgegeben hat, 
das Strafmaß bei Kindesmissbrauch deut- 
lich zu verschärfen. Es sei auch „richtig, 
dass wir endlich zu einer Einstufung als 
Verbrechen kommen und nicht mehr als 
Vergehen”. Die CSU wolle aber über diese 
Vorschläge hinausgehen. 

Der Missbrauchsbeauftragte Johan- 
nes-Wilhelm Rörig warnte vor einem 
Nachlassen der öffentlichen Aufmerk- 
samkeit für das Thema. Lambrechts Plä- 
ne zur Strafverschärfung halte er zwar 
für richtig und für ein „wichtiges Signal 
für Betroffene”. Aber allein mit höhe- 
ren Strafen „verhindern wir Missbrauch 
nicht”. Es wäre deshalb ein „Riesenfeh- 
ler“, die Debatte jetzt zu beenden. Straf- 
verschärfungen hielten keinen Sexual- 
straftäter ab, „der Kinder vergewaltigt, 
foltert und dabei filmt“. Viel entschei- 
dender sei es, das Entdeckungsrisiko für 
Missbrauchstäter zu erhöhen. Dies lasse 
sich wie in Nordrhein-Westfalen durch 
verbesserte Aufklärungs- und Präven- 
tionsarbeit und bessere polizeiliche 
Ermittlungsmöglichkeiten erreichen. 
Zentral sei auch eine enge Zusammen- 
arbeit aller Behörden, die dem Kindes- 
wohl dienten, besonders zwischen den 
Jugendämtern und den Familiengerich- 
ten. In Bezug auf den Vorschlag zum er- 
weiterten Führungszeugnis warnte Rö- 
rig vor zu viel Optimismus. Fakt sei, dass 
„das erweiterte Führungszeugnis nur 
vor bereits verurteilten Sexualtätern 
schützen“ könne. „Die Mehrzahl der 
Täter ist aber weder entdeckt noch ver- 
urteilt.“ Zudem müsse bei jugendlichen 
Missbrauchstätern eine Einschränkung 
gemacht werden. Für sie dürfe der le- 
benslange Eintrag nicht gelten: „Da 
melde ich einen Vorbehalt an.” Bei Ju- 
gendlichen könne man pädagogisch 
und therapeutisch besser nachsteuern. 
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Ein Sprecher des Justizministeri- 
um erklärte zu den Forderungen: „Die 
Ministerin ist offen für die weitere 
Diskussion über eine noch stärkere 
Ausweitung der Fristen und für fach- 
lich fundierte Argumente im Gesetzge- 
bungsverfahren.” Er verwies aber auch 
auf das „grundrechtlich verankerte 
Interesse an der Resozialisierung” von 
Tätern. Nach dem im Ministerium be- 
arbeiteten Gesetzentwurf, in dem es 
um Strafverschärfungen, Strafverfol- 
gung und Prävention geht, würden sich 
„zwangsläufig längere Aufnahmefristen 
in das erweiterte Führungszeugnis er- 
geben“. Auch bei Verurteilungen zu we- 
niger als einem Jahr soll die Eintragung 
ins Führungszeugnis von drei auf zehn 
Jahre „erheblich verlängert” werden 
(CSU will Kindesmissbrauch lebenslang 
im Führungszeugnis vermerken, www. 
zeit.de 13.07.2020; Rattenhuber, Le- 
benslang, zum Schutz der Kinder, SZ 
14.07.2020, 6; Lebenslanger Eintrag im 
Führungszeugnis, Der Spiegel Nr. 30 v. 
18.07.2020, 18). 


Bund 


BMJV plant 
strafprozessuales Kfz- 
Kennzeichen-Scanning 


Gemäß einem veröffentlichten Refe- 
rentenentwurf zur „Fortentwicklung der 
Strafprozessordnung“ (StPO) will das 
Bundesjustizministerium (BMJV) eine 
einheitliche Rechtsgrundlage schaffen, 
auf der die Polizei die automatisierten 
Kennzeichenlesesysteme (AKLS) im 
öffentlichen Verkehrsraum zu Fahn- 
dungszwecken nutzen kann. Gemäß 
dem geplanten 8 163g StPO sollen Ord- 
nungshüter „an bestimmten Stellen im 
öffentlichen Verkehrsraum“ ohne das 
Wissen der betroffenen Personen „amt- 
liche Kennzeichen von Kraftfahrzeugen 
sowie Ort, Datum, Uhrzeit und Fahrt- 
richtung durch den Einsatz technischer 
Mittel automatisch” erheben dürfen. 
Es müssen demnach „zureichende tat- 
sächliche Anhaltspunkte dafür vorlie- 
gen, dass eine Straftat von erheblicher 
Bedeutung begangen worden ist”. Zu- 
gleich soll die Annahme gerechtfertigt 
sein, dass so der Aufenthaltsort des Be- 
schuldigten ermittelt werden kann. 


Das Ministerium hofft damit, eine 
„klare Zweckbindung der Maßnah- 
me” zu kodifizieren. Schon mit dem 
Verweis auf Delikte von „erheblicher 
Bedeutung” verwendet es aber einen 
weitgehend unbestimmten Rechtsbe- 
griff. Eine solche Straftat liegt laut dem 
Bundesverfassungsgericht vor, „wenn 
sie mindestens der mittleren Kriminali- 
tät zuzurechnen ist, den Rechtsfrieden 
empfindlich stört und geeignet ist, das 
Gefühl der Rechtssicherheit der Bevöl- 
kerung erheblich zu beeinträchtigen”. 

Meist handelt es sich Juristen zufol- 
ge um gewerbs-, gewohnheits-, serien- 
oder bandenmäßig oder anders organi- 
sierte Taten. Als Beispiele gelten neben 
Delikten, die besonders schutzwürdige 
Rechtsgüter wie Leib, Leben und Freiheit 
der Person sowie den Bestand und die Si- 
cherheit des Bundes und der Länder be- 
treffen, auch Betrugsfälle, Drogenkrimi- 
nalität oder das Verbreiten von Darstel- 
lungen sexuellen Kindesmissbrauchs. 

Die Daten dürfen laut dem Entwurf 
nur vorübergehend und nicht flä- 
chendeckend erhoben werden. Eine 
ausdrückliche und pauschal geltende 
Höchstfrist sei nicht nötig. Die erho- 
benen amtlichen Kfz-Nummernschilder 
dürften automatisch abgeglichen wer- 
den mit Halterdaten von Autos, die auf 
den Beschuldigten oder Kontaktper- 
sonen zugelassen sind oder von diesen 
genutzt werden. Bedingung soll sein, 
dass die „Ermittlung des Aufenthaltsor- 
tes des Beschuldigten auf andere Weise 
erheblich weniger erfolgversprechend 
oder wesentlich erschwert wäre”. Das 
Kennzeichen müsse unverzüglich auto- 
matisch abgeglichen werden, nachdem 
die Daten erhoben worden seien. Bei 
einem Treffer sei genauso unverzüglich 
manuell zu überprüfen, ob die erhobe- 
nen Kennzeichen und Halterdaten über- 
einstimmen. Wenn kein Treffer vorliege 
oder dieser nicht bestätigt werden kön- 
ne, seien die erhobenen Informationen 
„sofort und spurenlos zu löschen”. 

Eine schriftliche Anordnung „der 
Staatsanwaltschaft oder ihrer Ermitt- 
lungsperson” soll ausreichen, um die 
Scanner einzusetzen. Darin müssen 
laut dem Entwurf die Halterdaten der 
Verdächtigen und die „bestimmten 
Stellen“ der Überwachung genau be- 
zeichnet werden. Die Anordnung sei 
zu befristen, ein Richtervorbehalt aber 
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nicht angezeigt. AKLS ermöglichten es, 
so das BMJV, „über einen bestimmten 
Zeitraum hinweg an überwachten Kon- 
trollpunkten vor allem von Fernstraßen 
sämtliche passierende Fahrzeuge abzu- 
lichten, deren amtliche Kennzeichen 
durch eine Software auszulesen und sie 
mit Halterdaten von Kraftfahrzeugen 
abzugleichen“. Dabei gelte es, die Rech- 
te der Betroffenen durch klare Anord- 
nungs- und Verfahrensvoraussetzungen 
zu schützen und die vom Bundesver- 
fassungsgericht in jüngster Zeit aufge- 
stellten Vorgaben zu berücksichtigen. 
Bundesjustizministerin Christine Lamb- 
recht (SPD) erklärte, ihr gehe es darum 
eine „Regelungslücke im Bereich der 
strafprozessualen Ermittlungsbefug- 
nisse“ zu schließen. Die Novelle greife 
zudem einen Beschluss der Justizminis- 
terkonferenz vom Juni 2019 auf. 

In der Gesetzesbegründung wird auf- 
geführt, das Instrument werde in an- 
deren Bereichen staatlicher Kontrolle 
bereits seit Längerem erfolgreich ein- 
gesetzt und sei dort auch bereichsspe- 
zifisch gesetzlich geregelt. So dienten 
AKLS im Straßenverkehrsrecht schon 
seit 2005 dazu, die Mautpflicht durchzu- 
setzen. Seit 2019 würden sie genutzt, um 
zu kontrollieren, ob Dieselfahrverbots- 
zonen eingehalten werden. Auch für die 
Gefahrenabwehr werde die automatische 
Kennzeichenerfassung schon seit vielen 
Jahren anlassbezogen - teils als offene, 
teils als verdeckte Maßnahme - polizei- 
lich in zahlreichen Bundesländern ver- 
wendet. Dies sei aber mit erheblichen 
Rechtsunsicherheiten behaftet. 

Bisher könne das Kennzeichen-Scan- 
ning allenfalls auf 8 100h StPO gestützt 
werden. Dieser Paragraph bestimme 
aber nur allgemein, dass „auch ohne 
Wissen der betroffenen Personen au- 
ßerhalb von Wohnungen Bildaufnah- 
men hergestellt werden dürfen“, um 
den Aufenthaltsort eines Beschuldig- 
ten herauszufinden. Insbesondere der 
ständige Abgleich von aufgenommenen 
Bildelementen mit mehr oder weniger 
umfangreichen Dateibeständen werde 
damit nicht erlaubt. Vor allem in Bran- 
denburg ist das Kennzeichen-Scanning 
daher umstritten und erhielt 2020 einen 
BigBrotherAward; eine Verfassungsbe- 
schwerde ist anhängig. 

Das BMJV räumt ein, dass „typischer- 
weise Personen in sehr großer Anzahl 
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betroffen” würden. Diese alle anschlie- 
ßend über den Grundrechtseingriff zu 
benachrichtigen, „erscheint praktisch 
undurchführbar“ und sei verfassungs- 
rechtlich auch nicht geboten. Infor- 
miert werden sollen daher nur dieje- 
nigen, die erheblich betroffen seien, 
also der Beschuldigte oder Kontakt- 
personen (Krempl, StPO-Reform: Jus- 
tizministerium will Kfz-Kennzeichen- 
Scanning ausweiten, www.heise.de 
16.10.2020, Kurzlink: https://heise. 
de/-4931007). 


Bund 


Kelber droht bei elektro- 
nischer Patientenakte mit 
Gegenmaßnahmen 


Der Bundesdatenschutzbeauftrag- 
te (BfDI) Ulrich Kelber kündigte beim 
Start der elektronischen Patientenakte 
im Jahr 2021 an, Warnungen vor unzu- 
reichendem Datenschutz an Millionen 
von Versicherten einzufordern. Er könne 
dem Gesetzgeber keine Vorgaben ma- 
chen undkeine Gesetze korrigieren: „Ich 
kann und muss aber einschreiten, wenn 
bei Stellen, die meiner Aufsicht unterlie- 
gen, Datenverarbeitungsvorgänge gegen 
geltende Datenschutzvorschriften ver- 
stoßen.” Das Gesundheitsministerium 
erklärte, die Bundesregierung teile die 
Bedenken ausdrücklich nicht. 

Kelber plant Warnungen und An- 
weisungen gegenüber 65 gesetzlichen 
Krankenkassen mit insgesamt 44,5 
Millionen Versicherten, über die er die 
Datenschutzaufsicht hat. Dies zielt 
unter anderem darauf, dass die Kassen 
vorgegebene „Warntexte” an ihre Versi- 
cherten schicken müssen. Kelber hatte 
die Konsequenzen angekündigt, wenn 
ein vom Bundestag beschlossenes Pa- 
tientendatenschutzgesetz (PDSG) für 
die E-Akten unverändert bleibt. Und 
dieses blieb am 18.09.2020 bei der ab- 
schließenden Billigung durch den Bun- 
desrat unverändert. Das PDSG wurde am 
19.10.2020 im Bundesgesetzblatt ver- 
kündet und trattags daraufin Kraft. 

E-Akten sollen allen Versicherten ab 
01.01.2021 zur freiwilligen Nutzung 
angeboten werden und zum Beispiel Be- 
funde, Röntgenbilder, Impfungen und 
Medikamentenpläne speichern. In der 


Kritik steht schon seit längerem, dass 
zum Start eine etwas „abgespeckte” 
Version bei den Zugriffsrechten vorge- 
sehen ist. So können Patienten festle- 
gen, welche Daten überhaupt in die E- 
Akte sollen und welcher Arzt sie sehen 
darf. Genauere Zugriffe je nach Arzt nur 
für einzelne Dokumente kommen aber 
erst Anfang 2022. Das zwinge Nutzer, so 
Kelber, zu einem „Alles oder Nichts”. Ein 
Zahnarzt könne alle Befunde eines Psy- 
chiaters sehen. Die Opposition kritisier- 
te das ebenfalls. 

Kelber kündigte an, vor dem 
01.01.2021 eine Warnung an die ihm 
unterstehenden Kassen zu senden, dass 
eine reine Gesetzes-Umsetzung „zu ei- 
nem europarechtswidrigen, defizitären 
Zugriffsmanagement” führen würde: 
„Der nächste Schritt werden Anweisun- 
gen sein.” Diese sollen die Kassen ver- 
pflichten, bis zum 31.12.2021 für eine 
Ausgestaltung des Zugriffsmanage- 
ments zu sorgen, die der europäischen 
Datenschutzgrundverordnung (DSGVO) 
entspricht. In der Zwischenzeit sollen 
sie Versicherten, die ihre digitale Akte 
freiwillig nutzen möchten, „einen vor- 
gegebenen Warntext” zukommen lassen 
müssen. 

Das Bundesgesundheitsministerium 
betonte, das Gesetz sei von den Ver- 
fassungsressorts für Justiz und Inneres 
umfassend geprüft worden. Die E-Akte 
seieine freiwillige Anwendung. Über die 
Funktionsweise müssten die Kassen ihre 
Versicherten vorab umfassend infor- 
mieren: „Die Versicherten behalten die 
Hoheit über ihre Daten.” Dem Start am 
01.01.2021 stünden die Ankündigun- 
gen des Datenschutzbeauftragten nicht 
entgegen. Minister Jens Spahn (CDU) 
will nach jahrelangem Gezerre um mehr 
Funktionen der elektronischen Gesund- 
heitskarte Tempo bei der Digitalisierung 
machen. Die E-Akten sollen schrittweise 
mehr Funktionen bekommen und auch 
per Smartphone abrufbar sein. 

Kelber will auch zunächst per War- 
nung an die Kassen mit Blick auf die 
IT-Sicherheit einschreiten. Nach dem 
01.01.2021 will er sie dann anweisen, 
bis spätestens 30.04.2021 ein „hoch“ 
sicheres Verfahren anzubieten, mit dem 
man sich für eine berechtigte Nutzung 
anmelden kann. Die vorgesehenen Au- 
thentifizierungsverfahren seien „aus 
Datenschutzsicht nicht ausreichend 
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sicher“ und entsprächen nicht den DS- 
GVO-Vorgaben. 

Kelber betonte, er unterstütze aus- 
drücklich die Digitalisierung des Ge- 
sundheitswesens: „Sie bietet riesige 
Chancen für uns alle.” Dies müsse aber 
auf Grundlage der DSGVO geschehen. 
Er fordert „eine sichere elektronische 
Patientenakte für alle, bei der man sei- 
ne Daten voll im Griff hat.” Im aktuel- 
len Fall sehe er, dass die gesetzlichen 
Krankenkassen in einer „besonderen 
Situation” seien: „Sie sollen die Geset- 
ze umsetzen, setzen sich damit aber in 
Widerspruch zum europäischen Recht.” 
Daher würde er sich ein festgeschriebe- 
nes Recht als Bundesdatenschutzbeauf- 
tragter wünschen, nationale Normen bei 
vermuteter Europarechtswidrigkeit dem 
Europäischen Gerichtshof (EuGH) vor- 
legen zu können (Der E-Patientenakte 
drohen Datenschutz-Warnungen, www. 
fr.de 16.09.2020). 


Bundesweit 


Corona-Gästelisten verur- 
sachen Probleme 


Millionen Menschen hinterlassen seit 
Monaten ihre Daten in Bars, Restaurants 
und Biergärten. Dazu gibt es einen Witz: 
„Was haben Mickey Maus und Klaus 
Störtebecker gemeinsam? Antwort: Sie 
schätzen beide einen Bahnhofsimbiss in 
Kiel.“ Dort musste das Gesundheitsamt 
Kunden aufspüren, nachdem mehrere 
Angestellte positiv auf Sars-CoV-2 ge- 
testet worden waren. Jeder zehnte Gast 
hatte falsche Angaben hinterlassen. Den 
Imbissbetreibern war nicht aufgefallen, 
dass die Comicfigur und der Freibeuter 
wohl in Wirklichkeit anders heißen. 

Ähnliche Erfahrungen machte das Ge- 
sundheitsamt in Berlin-Neukölln. Dort 
war es in einem Brauhaus zu Infektio- 
nen gekommen. Auf den Kontaktlisten 
tauchten Namen wie „Hildegard Prost” 
und „Farin Urlaub” auf. Insgesamt 41 der 
rund 350 Datensätze waren falsch oder 
unvollständig. Am Ende stellte sich her- 
aus: 22 Menschen waren infiziert, mehr 
als 70 mussten in Quarantäne. Nicht aus- 
geschlossen ist, dass Infizierte wegen 
ihrer falschen Angaben nicht ermittelt 
werden konnten. Dem Brauhausbetrei- 
ber Steffen Brückner droht nun ein Ver- 
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fahren wegen einer Ordnungswidrigkeit: 
„Wir haben jetzt den Schwarzen Peter.” 
Dabei könne ihm niemand erklären, mit 
welchem Recht er die Daten seiner Kun- 
den hätte überprüfen sollen. Er habe 
schließlich keine Befugnis, sich ihre 
Ausweise zeigen zu lassen. Der Hambur- 
gische Datenschutzbeauftragte stellte 
fest, dass rund ein Drittel der Betriebe 
offen ausliegende und für Fremde ein- 
sehbare Listen verwendet. 

Seit Mitte Mai 2020 werden unzählige 
Daten im ganzen Land erfasst: Namen, 
Telefonnummern, Anschriften, E-Mail- 
Adressen. Ende April war die „vollstän- 
dige Kontaktverfolgung”“ von Corona- 
Infizierten in der Einigung von Bund 
und Ländern die Voraussetzung für wei- 
tere Öffnungsmaßnahmen. Datenschüt- 
zer kritisierten von Anfang an die Pra- 
xis. Im Unabhängigen Landeszentrum 
für Datenschutz Schleswig-Holstein war 
Anfang August bereits eine dreistellige 
Zahl von Beschwerden eingegangen, bis 
Mitte Juli waren es bei der Aufsichtsbe- 
hörde in Nordrhein-Westfalen immerhin 
60. Das bayerische Landesamt für Da- 
tenschutzaufsicht berichtet bis dahin 
über mehr als 50 Eingaben. 

In den meisten Fällen wurde moniert, 
dass die Daten auf Listen oder in Ring- 
büchern gesammelt wurden, so dass 
sie von anderen eingesehen werden 
konnten. Urlauber befürchteten, dass 
auf diese Weise Diebe leer stehende 
Wohnungen auskundschaften. Unter- 
nehmer nutzten die Möglichkeit, um 
Kundendatenbanken aufzubauen und 
Newsletter zu verschicken. Eine Bre- 
merin klagte, dass ein Kellner versucht 
hatte, sie mit den Informationen privat 
zu kontaktieren. 

Die Polizeien in Bayern, Hamburg, 
Hessen und Rheinland-Pfalz haben die 
Angaben für ihre Ermittlungen ver- 
wendet. Der niedersächsische Landes- 
verband des Hotels und Gaststätten 
Dehoga warf deshalb der Polizei eine 
Zweckentfremdung der Daten vor. Der 
Bundesbeauftragte für den Datenschutz 
Ulrich Kelber mahnte die Sicherheitsbe- 
hörden zur Zurückhaltung. Die Listen 
dürften nur bei „schwersten Straftaten” 
genutzt werden, nicht aber bei „kleine- 
ren Delikten oder Ordnungswidrigkei- 
ten”. Der rheinland-pfälzische Daten- 
schutzbeauftragte Dieter Kugelmann 
forderte ein Bundesgesetz, das regelt, 


inwieweit die Polizei auf Corona-Gäste- 
listen zurückgreifen darf. Dieses „Coro- 
na-Freiheitsschutz-Begleitgesetz” solle 
hohe Hürden für den Zugriff der Polizei 
vorsehen: „Wer im Biergarten sitzt, darf 
nicht später von der Polizei aufgrund 
des Eintrags in einer Corona-Gästeliste 
befragt werden, wenn es um die Aufklä- 
rung einer Ordnungswidrigkeit, einer 
kleineren Sachbeschädigung oder eines 
Falschparkens in der Nähe geht. Dies 
könnte unverhältnismäßig sein.” 

Gastronomiebetriebe forderte Kelber 
zur „datenschutzkonformen Ausgestal- 
tung“ der Kontaktlisten auf. Wenn of- 
fene Listen auslägen, müsse man sich 
nicht über falsche Angaben und Fan- 
tasienamen wundern. Ein Brauhaus im 
bayerischen Andechs vergibt an jeden 
Gast ein Formular, das von einem Mit- 
arbeiter kontrolliert und dann in eine 
Box geworfen wird. Die Datenblätter 
kommen am Tagesende in einen Sicher- 
heitsbeutel, der dann für vier Wochen 
im Tresor aufbewahrt und danach ge- 
schreddert wird. Einfacher erscheinen 
digitale Lösungen, etwa eine Registrie- 
rung der Kunden über einen QR-Code. 
Entsprechende Apps gibt es. Aber keine 
davon genügte bisher den Datenschutz- 
standards und war gegen Hackerangrif- 
fe hinreichend gesichert (Stalmann, Ein 
Bier mit Micky Maus, Der Spiegel Nr. 33 
v. 08.08.2020, 47; Gästelisten-Gesetz 
gefordert, SZ 05.08.2020, 6). 


Bundesweit 


Digitale Corona-Gästedaten 
unsicher 


Mitglieder des Chaos Computer Clubs 
(CCC), der großen deutschen Hacker- 
Organisation, waren bei einem Restau- 
rantbesuch misstrauisch geworden, 
nachdem sie Namen und Kontaktdaten 
digital hinterlegen mussten. Die Ge- 
sundheitsbehörden wollen anhand die- 
ser Daten Covid-19-Infektionsketten 
zurückverfolgen. Die Corona-Verord- 
nungen verpflichten die Gastronomen, 
diese Daten zu erfassen. Bei ihren Re- 
cherchen fanden die Hacker dann tat- 
sächlich schwere Sicherheitslücken 
in einer Cloud-Software, mit der 180 
Restaurants Reservierungen und an- 
dere Daten verwalten. Der Fall wirft ein 
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schlechtes Licht auf den Datenschutz 
der Covid-19-Kontakterfassung. Die 
Cloud ist von überall aus zugänglich 
und wird vom Unternehmen Gastronovi 
aus Bremen angeboten. Nach eigenen 
Angaben verarbeiten seine Systeme je- 
den Monat im Schnitt 600.000 Reservie- 
rungen. In der Covid-19-Pandemie wirbt 
das Unternehmen damit, die eigene 
Software könne „die Daten Ihrer Gäste 
100% datenschutzkonform” speichern. 

Über die Benutzerschnittstelle konn- 
ten sich die Hacker einfach Zugriff auf 
die Daten verschaffen. Wer im System 
sei, könne auch auf die Daten aller an- 
deren Restaurants zugreifen, heißt es 
in einer Mitteilung des CCC, der 87.000 
Corona-Kontakterhebungen fand. Auch 
Passwörter ließen sich demnach unbe- 
fugt auslesen, einige sogar im Klartext: 
„Iriviale Passwörter wie 1234 deuteten 
auf das Fehlen einer angemessenen 
Passwortrichtlinie hin“. Der CCC geht 
davon aus, dass Gastronovi nur eines 
von vielen Unternehmen ist, die Pass- 
wörter ungenügend schützen. Wie es 
sich für ethisch saubere Hacker gehört, 
informierte der CCC zuerst das Unter- 
nehmen, bevor er den Fall öffentlich 
machte. Andreas Jonderko, Geschäfts- 
führer Gastronovi Deutschland, erklär- 
te, man habe „umgehend reagiert und 
die gefundenen Sicherheitslücken in- 
nerhalb weniger Stunden nach Erhalt 
des Berichts durch den CCC geschlos- 
sen“. Betroffene Gastronomen seien 
informiert worden. Johannes Caspar, 
Datenschutzbeauftragter des Landes 
Hamburg, äußerte sich zur Frage nach 
der Verantwortung: „Für die Einhaltung 
der Datenschutzvorschriften sind die 
Gaststättenbetriebe als Auftraggeber 
verantwortlich. Das betrifft auch die 
Löschung der Daten, soweit keine an- 
derweitigen Vereinbarungen mit dem 
Auftragnehmer getroffen wurden.” 

Die Kontaktdaten, die gegen die Ver- 
breitung von Covid-19 helfen sollen, 
waren nicht die einzigen Infos, an die 
der CCC leicht herankam: „Im betroffe- 
nen System wurden jedoch nicht nur Co- 
rona-Listen, sondern auch Reservierun- 
gen, Bestellungen und Kassenumsätze 
gespeichert” - insgesamt 4,8 Millionen 
Datensätze, vorwiegend aus Deutsch- 
land. Dem CCC zufolge reichen die Re- 
servierungs-Daten sogar ein Jahrzehnt 
zurück. Covid-19-Kontaktdaten müssen 
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nach vier Wochen gelöscht werden. Vor 
allem die lange Speicherung kritisier- 
te der Bundesdatenschutzbeauftrag- 
te Ulrich Kelber: „Es ist inakzeptabel, 
dass nicht mehr benötigte Daten nicht 
gelöscht werden. Nicht jeder trifft sich 
einfach mal nur mit einem Kumpel.” 
Whistleblower und Mandanten von An- 
wälten könnten so gefährdet werden. 
Der CCC hat einen Tipp für Gäste, die 
mit digitalen Corona-Listen konfron- 
tiert werden: Sie sollten eine E-Mail- 
Adresse einrichten, die sie ausschließ- 
lich für die Kontaktverfolgung nutzen. 
Gibt man seine Haupt-E-Mail-Adresse 
an, könnten Hacker oder Stalker sie 
missbrauchen. CCC-Sprecher Linus Neu- 
mann sagt: „Viele digitale Corona-Listen 
wurden mit der heißen Nadel gestrickt 
und machen schwer zu haltende Da- 
tenschutzversprechen. Die Sicherheit 
eines Papiersystems ist hingegen auch 
für Laien leicht zu beurteilen.” Der CCC 
empfiehlt, jeder Besuchergruppe einen 
eigenen Zettel auszuhändigen. Die aus- 
gefüllten Zettel eines Tages sollten dann 
jeweils in einem Umschlag sicher gela- 
gert werden. Jeden Tag solle der Gastro- 
nom einen Umschlag vernichten, des- 
sen Löschfrist abgelaufen sei. So mach- 
ten die Hacker es auch in ihren eigenen 
„Hackspaces”, wo sie sich zum Tüfteln 
treffen (Brühl, Hauptgericht, Nachspei- 
se, Datenleck, SZ 29./30.08.2020, 23). 


Bundesweit 


Office 365 nicht DSGVO- 
konform!? 


Die Datenschutzaufsichtsbehörden 
in Deutschland streiten darüber, ob 
das Programmpaket Microsoft Office 
365 regelkonform in Verwaltung und 
öffentlichen Einrichtungen eingesetzt 
werden kann. Eine Arbeitsgruppe der 
Datenschutzkonferenz (DSK), in der 
die Behörden von Bund und Ländern 
zusammenarbeiten, kam nach Sichtung 
von Verträgen und Unterlagen zu dem 
Schluss, dass „kein datenschutzgerech- 
ter Einsatz von MS Office 365 möglich” 
ist. Vor allem die Bayerischen Landes- 
datenschützer stellten sich jedoch quer 
und trugen den Entwurf nicht mit. Die 
Formulierung sei „rechtlich fragwür- 
dig”, schrieben sie in einer Rundmail 


von August 2020, in der sie ihre Ableh- 
nung ankündigten. Der Beschluss wür- 
de die „naheliegende Frage nach kon- 
kreten Maßnahmen zur Aussetzung von 
MS 365 aufwerfen“. Auch sei man ge- 
gen eine Veröffentlichung des Papiers. 
Sollte die Mehrheit dies anders sehen, 
wünsche Bayern „eine ausdrückliche 
Kennzeichnung seiner Gegenstimme“. 
Die Deutschlandzentrale von Microsoft 
liegtin München. Schon im Herbst 2019 
hatte eine Studie im Auftrag des Bun- 
desinnenministeriums ergeben, dass 
96% aller Bundesbehörden das MS-Of- 
fice-Paket verwenden und „dringender 
Handlungsbedarf” bestehe wegen der 
„starken Abhängigkeiten” und „(daten- 
schutz)rechtlicher Unsicherheiten”. Der 
Bundesbeauftragte für den Datenschutz 
und die Informationsfreiheit Ulrich 
Kelber bestätigte, es gebe zu dem The- 
ma „weiteren Gesprächsbedarf” sowohl 
intern als auch mit dem Microsoft-Kon- 
zern, mit dem die DSK „seit Längerem im 
Dialog” sei. Ziel sei es, möglichst bald 
eine abschließende Bewertung abzuge- 
ben: „Dabei ist es mir wichtig, dass wir 
als Aufsichtsbehörden einheitlich agie- 
ren” (Aufseher uneins über Microsoft, 
Der Spiegel Nr. 38 12.08.2020, 55). 


Bundesweit 
Bitkom-Umfrage zu DSGVO 


Gemäß einer repräsentativen Bit- 
kom-Befragung von 504 deutschen 
Unternehmen aller Branchen mit mehr 
als 20 Mitarbeitern gaben 56% der Fir- 
men an, dass bei ihnen aufgrund der 
Datenschutz-Grundverordnung (DS- 
GVO) „neue, innovative Projekte” ge- 
scheitert seien. 41% sehen sich behin- 
dert, Datenpools aufzubauen, um etwa 
Daten mit Geschäftspartnern teilen zu 
können. Bei 31% der Unternehmen 
scheiterte angeblich an den EU-Vorga- 
ben der Einsatz von Analyseverfahren 
wie Big Data oder Künstliche Intelli- 
genz, ein knappes Viertel bestätigt dies 
für die Digitalisierung von Geschäfts- 
prozessen. 

Der Verband Bitkom stellte diese Er- 
gebnisse auf seiner „Privacy Conference” 
am 29.09.2020 vor. 92% der Umfrage- 
teilnehmer fordern demnach, dass die 
DSGVO nachgebessert werden sollte, vor 
allem bei den Informationspflichten. 
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85% drängen darauf, die Regeln ver- 
ständlicher zu machen. 83% wünschen 
sich eine bessere Beratung und mehr 
Hilfe von den Aufsichtsbehörden. Nur 
3% meinen, dass die Verordnung ver- 
schärft werden sollte. 20% der Firmen 
haben die seit fast zweieinhalb Jahren 
anzuwendende DSGVO nach eigenen 
Angaben vollständig umgesetzt und 
einschlägige Prüfprozesse etabliert. 
37% wollen die Regeln größtenteils im- 
plementiert haben, 35% teilweise. 6% 
haben mit dieser Arbeit gerade erst be- 
gonnen. Neun von zehn Unternehmen 
gehen davon aus, dass die Verordnung 
nicht komplett umsetzbar sei. 

Die größte Herausforderung ist dabei 
für fast drei Viertel der Befragten eine 
ausgemachte Rechtsunsicherheit. 68% 
beklagen „zu viele Änderungen” oder 
Anpassungen bei der Auslegung des 
Normenwerks. 59% sehen als eines der 
größten Probleme die fehlenden Umset- 
zungshilfen durch Aufsichtsbehörden, 
45% nennen die uneinheitliche Inter- 
pretation der Regeln innerhalb der EU. 
26% beklagen einen Mangel an quali- 
fizierten Mitarbeitern, während es im 
Vorjahr noch 37% waren. Mit Blick auf 
den eigenen Betrieb sieht die Mehrheit 
der Befragten die DSGVO kritisch. 71% 
monierten, dass die Verordnung ihre 
Geschäftsprozesse komplizierter macht, 
für 12% stellt sie eine Gefahr für etab- 
lierte Ansätze dar. Nur jedes fünfte Un- 
ternehmen erkennt für sich direkt mehr 
Vorteile. Sieben von zehn Firmen kons- 
tatieren aber allgemein, dass die DSGVO 
weltweit Maßstäbe für den Umgang mit 
personenbezogenen Daten setze, laut 
66% führt sie zu einheitlicheren Wett- 
bewerbsbedingungen. 62% sprechen 
von einem Wettbewerbsvorteil für die 
Wirtschaft in Europa. 

Der Bitkom wollte auch wissen, wie 
sich Datenschutzvorgaben während der 
Corona-Krise auf die Betriebe auswir- 
ken: 26% nutzen demnach momentan 
Cloud-Dienste nur eingeschränkt oder 
nicht, insgesamt 40% bezogen dies auf 
Kollaborationswerkzeuge wie Microsoft 
Teams oder Slack für die Aufgabenkoor- 
dination und Kommunikation. Vier von 
zehn Firmen haben Homeoffice-Leitli- 
nien, 22% haben diese erst mit der Pan- 
demie eingeführt. Keine der Firmen hat 
eine eigene App zum Nachverfolgen von 
Corona-Infektionen entwickelt. Jedes 
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fünfte Unternehmen ab 500 Mitarbei- 
tern plant oder diskutiert aber den Ein- 
satz einer eigenen Tracing-Anwendung 
unabhängig von der Corona-Warn-App 
(CWA) der Bundesregierung. 62% wün- 
schen sich mehr Möglichkeiten, Daten 
nutzen zu können, um die Pandemie 
besser bekämpfen zu können. 

Der Bundesdatenschutzbeauftragte 
Ulrich Kelber bezeichnete es als „span- 
nend”, dass fast 60% der Befragten 
meinten, den Umstellungsprozess ge- 
schafft zu haben. Zugleich verwies er 
neben tatsächlichen Problemen etwa 
beim Datentransfer auf eine „gefühlte 
Rechtsunsicherheit”, die nicht ganz 
mit empirischen Fakten begründet sei. 
Rechtsanwälte und Berater hätten viele 
Firmen „auch zu Handlungen gebracht, 
die völlig überflüssig waren”. Oft seien 
etwa riesige Prozesse, um die Einwilli- 
gung von Betroffenen einzuholen, nicht 
nötig und verhältnismäßig. Kelber wi- 
dersprach der Klage über behinderte In- 
novation: „Es gibt Geschäftsmodelle, die 
wollen wir in Europa nicht“, betonte er 
und zog eine Parallele etwa zur Kinder- 
arbeit. Die Wirtschaft dürfe die informa- 
tionelle Selbstbestimmung der Bürger 
nicht untergraben. Esreiche nicht, „den 
Datenschutz am Ende auf ein Projekt 
noch aufzupfropfen”. Erfolgsverspre- 
chend sei esnur, wenn Entwickler Priva- 
cy by Design berücksichtigten. 

Die DSGVO verständlicher zu machen, 
dürfte dem Bundesdatenschutzbeauf- 
tragten zufolge schwierig werden, da 
es sich um ein technologieneutrales, 
allgemein formuliertes Gesetz handeln 
müsse. Die Auslegungen müssten aber 
sehr konkret sein, weshalb etwa der Eu- 
ropäische Datenschutzausschuss schon 
viele Orientierungshilfen und Leitlinien 
herausgegeben habe. Mehr Beratungs- 
bedarf gibt es laut Kelber vor allem bei 
den hiesigen Landesdatenschutzbe- 
hörden, von denen viele nach wie vor 
unterdimensioniert seien. Trotzdem 
seien auch hierzulande viele offizielle 
Hilfestellungen etwa für Homeoffice- 
Anwendungen verfügbar. Ein Rätsel sei 
ihm, warum in diesem Bereich bei vielen 
Werkzeuge von US-Anbietern „so omni- 
präsent in den Köpfen” seien. Vor allem 
bei Cloud- und Kollaborationsdiensten 
„existieren von deutschen Anbietern 
beste datenschutzkonforme Lösungen“. 
Bei Pools müssten die Firmen zudem 


stärker unterscheiden etwa zwischen 
unproblematischen Maschinendaten 
und personenbezogenen Informatio- 
nen (Krempl, Datenschutz-Korrekturen 
gefordert: Deutsche Firmen hadern mit 
der DSGVO, www.heise.de 29.09.2020, 
https://heise.de/-4915068). 


Bundesweit 


Auskunfteien planen Ener- 
gieversorgungsvertragsdatei 


Gemäß Medienrecherchen haben die 
Schufa und die Münchner Wirtschafts- 
auskunftei CRIF Bürgel Datenbanken ent- 
wickelt, in denen branchenweit Vertrags- 
daten möglichst vieler Kunden gespei- 
chert werden sollen. Verbraucher- und 
Datenschützer fürchten, dass damit Ener- 
gieversorger wechselfreudige Verbrau- 
cher identifizieren und in der Folge ab- 
lehnen könnten. Gemäß der Aussage von 
Barbara Saerbeck vom Bundesverband 
der Verbraucherzentralen (VZBV) sind 
Kunden, die schon nach der Mindestver- 
tragslaufzeit wieder wechselten, für Ener- 
gieversorger grundsätzlich unattraktiv 
und als „Bonushopper” verschrien. Wenn 
Strom- und Gasunternehmen durch sol- 
che Datenbanken künftig sehen könnten, 
dass Kunden schon häufiger gewechselt 
haben, könnten sie diese dann entweder 
systematisch ablehnen oder ihnen attrak- 
tive Konditionen vorenthalten. 

Das Hamburger Portal „Wechselpi- 
lot” hat festgestellt, dass bei manchen 
Energieversorgern bereits jetzt jeder 
fünfte Neukunde abgelehnt wird. Häu- 
fig werden gemäß Geschäftsführer Jan 
Rabe für die Ablehnungen keine Gründe 
genannt. Abgelehnte Kunden müssten 
dann zu einem anderen Versorger und 
im ungünstigsten Fall in einen teuren 
Grundversorgungstarif. 

Bisher dürfen Daten nur von Kunden, 
die ihre Rechnungen nicht zahlen oder 
die betrügen, branchenweit ausgetauscht 
werden. Man spricht von Negativdaten. 
Die neuen Datenbanken sollen dagegen 
auch Daten von vertragstreuen Kunden, 
sog. Positivdaten, enthalten. Der Da- 
tenschutzexperte und frühere Landes- 
datenschutzbeauftragte von Schleswig- 
Holstein, Thilo Weichert, kritisierte, dass 
solche Pools dazu führen, dass Verbrau- 
cher unter den Anbietern nicht mehr frei 
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wählen könnten. Die Kunden würden auf 
diese Weise „zum Freiwild der gesamten 
Branche”. Daher sei ein solches Aus- 
kunfteiangebot unzulässig. 

Die größte deutsche Wirtschaftsaus- 
kunftei, die Schufa, konzipierte den 
Recherchen zufolge eine Datenbank 
namens „Schufa-E-Pool”. Darin sollen 
Energieversorger gemäß einem Werbe- 
flyer „wertvolle Hinweise” „durch In- 
formationen zu dem bestehenden Ener- 
giekonto und der bisherigen Laufzeit” 
finden. Die Unternehmen könnten diese 
Daten für ihren „Entscheidungsprozess 
im Neukundengeschäft” einsetzen. 
Der „Schufa-E-Pool” soll offenbar Ant- 
worten darauf liefern, wieviel Gas und 
Strom die Kunden verbrauchen und wie 
wechselfreudig sie sind. 

Die Wirtschaftsauskunftei CRIF Bür- 
gel entwickelte offenbar einen ähnli- 
chen Pool für Energieversorger. Dessen 
Konzept wird gemäß den Medieninfor- 
mationen von der zuständigen bayeri- 
schen Datenschutzbehörde geprüft. Das 
Unternehmen wollte sich auf Nachfrage 
nicht zu Details äußern. Ein Sprecher 
erklärte lediglich, dass man „generell 
keine Auskunft über mögliche zukünfti- 
ge Projekte” gebe. CRIF Bürgel wie auch 
dieSchufa betonten, dass man sich stets 
an geltendes Recht halte. Schufa-Spre- 
cher Ingo A. Koch erklärte, der „Schufa- 
E-Pool” sei bislang nicht „marktfähig”: 
„Wir verfolgen die Idee grundsätzlich 
aber weiter.” Es sei derzeit offen, „ob 
und wenn, in welcher Ausgestaltung” 
sie wieder aufgegriffen werde. Die Da- 
tenbank wurde den Recherchen zufolge 
bis Mitte August 2020 im Internet so- 
wie in einer aktuellen Unternehmens- 
broschüre beworben. Die Internetseite 
war erst entfernt worden, nachdem 
Medienvertreter zu den Hintergründen 
dieser Datenbank angefragt hatten. Bei 
der Vorstellung des „Schufa-E-Pools“ in 
einer Firmenbroschüre habe es sich um 
ein „redaktionelles Versehen” gehan- 
delt. Laut Schufa könnten Kunden, die 
sonst Schwierigkeiten beim Wechsel 
hätten, von der Datenbank profitieren. 

Koch erklärte, „die Idee hinter dem 
E-Pool (sei) nicht das Verhindern eines 
Wechsels“. Entsprechenden Begehrlich- 
keiten aus der Energiewirtschaft sei die 
Auskunftei schon frühzeitig entgegen- 
getreten. Es werde in der Datenbank 
„nach gegenwärtigem Entwicklungs- 


250 


stand lediglich die faktische und zeitli- 
che Existenz des aktuellen Energiekon- 
tos gespeichert” sowie gegebenenfalls 
unbezahlte Rechnungen. Mit solchen 
Informationen seien Energieversorger 
sogar in der Lage, Kunden als Vertrags- 
partner anzunehmen, die sie sonst 
vielleicht nicht annehmen würden. Das 
sieht Verbraucherschützerin Barbara 
Saerbeck anders. Selbst wenn nur we- 
nige Angaben zu Energiekonten gespei- 
chert würden, bestehe die Gefahr, dass 
Kunden künftig diskriminiert würden. 
Die Angabe der Laufzeit reiche, um he- 
rauszufinden, ob jemand nach kurzer 
Zeit schon wieder wechseln wolle. 

Die für Datenschutz zuständigen Auf- 
sichtsbehörden der Bundesländer berie- 
ten in der ersten November-Woche 2020 
darüber, ob sie solche Datenbanken für 
Energieversorger als zulässig ansehen. 
Der für die Schufa zuständige Hessische 
Landesbeauftragte für Datenschutz hält 
es aufgrund der Wettbewerbssituation 
für rechtlich vertretbar, dass Strom- und 
Gasversorger Kundendaten in branchen- 
weiten Datenbanken teilten, so Michael 
Kaiser: „Wenn ich sehe, dass im Markt 
der Energieversorger schon die ein oder 
andere Insolvenz passiert ist - haupt- 
sächlich aufgrund nutzloser Akquisi- 
tionskosten - dann muss ich dieses le- 
gitime Interesse einfach anerkennen.” 
Vertreter anderer Datenschutzbehörden 
sehen eine solche Speicherung dagegen 
kritisch. Fünf Aufsichtsbehörden posi- 
tionierten sich gegen den Datenpool: 
Der Landesdatenschutzbeauftragte von 
Mecklenburg-Vorpommern erklärte, er 
sehe keine Rechtsgrundlage dafür, alle 
Vertragsdaten der Strom- und Gaskun- 
den zu speichern. Marit Hansen, seine 
Amtskollegin aus Schleswig-Holstein, 
konnte auch „nicht nachvollziehen“, 
weshalb solche Daten gespeichert wer- 
den sollen. Ähnlich ablehnend äußer- 
ten sich auch die Behörden von Ham- 
burg, Rheinland-Pfalz und Baden-Würt- 
temberg. Von drei weiteren Behörden ist 
bekannt, dass sie entsprechende Vorbe- 
halte gegen die geplanten Datenbanken 
haben. 

Eine Medienumfrage unter 75 Strom- 
und Gasversorgern ergab ein uneinheit- 
liches Bild. Zahlreiche Firmen berich- 
teten, sie seien von den Auskunfteien 
wegen der Datenpools angesprochen 
worden. Einige erklärten, sie könnten 


sich eine Teilnahme vorstellen, sollten 
alle datenschutzrechtlichen Regelun- 
gen eingehalten werden, andere äußer- 
ten sich ablehnend. Eine Sprecherin des 
niedersächsischen Energieversorgers 
Firstcon meinte, der Wunsch nach ei- 
nem „gläsernen Kunden” sei zwar „aus 
wirtschaftlicher Perspektive nachvoll- 
ziehbar, aber ethisch fragwürdig.” Vat- 
tenfall ist an dem Projekt interessiert. 
Auch Konkurrent E.ON prüft die Pläne 
von Schufa und CRIF Bürgel. 

Von den drei größten deutschen 
Energieversorgern mit Privatkunden- 
geschäft äußerte sich nur EnBW klar ab- 
lehnend. E.ON dagegen räumte ein, „mit 
der Schufa und CRIF Bürgel im Rahmen 
von Projekten zusammengearbeitet und 
Datenpools geprüft“ zu haben. Über die 
Projektphase sei man aber nicht hinaus- 
gekommen. Vattenfall erklärte, man sei 
mit den beiden Auskunfteien „zu deren 
Produktportfolio im Austausch“. 25 Un- 
ternehmen, darunter Stromdiscounter 
wie Fuxx, Stromio und Immergrün be- 
antworteten die Medienanfragen nicht. 

Bundestagsabgeordnete sehen die 
Pläne der Auskunfteiunternehmen kri- 
tisch. Sebastian Steineke (CDU) sieht die 
Gefahr, dass einzelne Kunden diskrimi- 
niert werden. Reinhard Houben von der 
FDP betonte, dass Ablehnungen, nur weil 
jemand flexibel sein möchte, „nicht kor- 
rekt” seinkönnen. Tabea Rößnervon den 
Grünen meinte, es könne nicht sein, dass 
„der Verbraucherschutz weiter ausgehe- 
belt wird. Die Liberalisierung des Marktes 
solle doch den Verbrauchern die Mög- 
lichkeit geben, ihren Versorger frei zu 
wählen”. Und Ulla Jelpke von den Linken 
kommentierte: „Solchen Geschäftsprak- 
tiken muss ein Riegel vorgeschoben wer- 
den“ (Busch/Hornung, Mit der Schufa 
gegen „Bonushopper”, www.tagesschau. 
de 08.09.2020; Wischmeyer, Schwarze 
Liste für Bonus-Hopper, SZ 09.09.2020, 
15; Wischmeyer, Behörden über Kritik an 
Datenpool, SZ 23.09.2020, 18). 


Baden-Württemberg 


Videovollüberwachung bei 
Müller Fleisch 


Müller Fleisch ist einer der größten 
Schlacht- und Fleischzerlegungsbetrie- 
bein Süddeutschland. Dieser überwacht 
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seit Jahren seine meist aus Osteuropa 
stammenden Mitarbeiter während der 
Produktion. Etwa 60 Kameras sind in 
„produktionsnahen Bereichen” instal- 
liert. Zwei Drittel befinden sich, so die 
Angaben des Unternehmens, in Rand- 
bereichen; hauptsächlich gehe es um 
die Überwachung der Anlagen. Die üb- 
rigen würden die Produktion „ins Visier” 
nehmen. Die Kameras seien zwar auf die 
technischen Abläufe fixiert, aber „gele- 
gentlich” seien auch Mitarbeiter unver- 
pixelt zu sehen. Wenn sie als Ganzes zu 
sehen sind, dann seien sie wegen der 
Hygienekleidung nicht zu identifizieren. 

Angestellte berichten dagegen etwas 
ganz anderes: Die Aufnahmen zeigten 
eindeutig erkennbar die in der Herstel- 
lung tätigen Arbeiter. Dies lässt sich 
auch aus den Kamerapositionen erken- 
nen. Die Kameras laufen ständig. Die 
Geschäftsleitung kann die Aufnahmen 
über Bildschirme in ihren Büros ver- 
folgen. Dies führt nach Angaben der 
Angestellten dazu, dass etwa Martin 
Müller, Spross des Gründers, in der Pro- 
duktion aufschlägt und vermeintliche 
Trödler ermahnt. Die Firma räumt ein, 
dass die Betriebsleitung die Aufnahmen 
einsieht, behauptet aber, dass sie diese 
nicht zur Maßregelung nutze. Müllers 
Visiten im Betrieb zeigten „die Nähe 
vom Inhaber zu seinen Mitarbeitern”. 

Stefan Brink, Datenschutzbeauftrag- 
ter von Baden-Württemberg meint da- 
gegen: „Wenn Mitarbeiter, wie es hier 
scheint, in erheblichem Umfang wäh- 
rend der Arbeitszeit überwacht werden, 
ist das rechtswidrig.” Ständig den Ar- 
beitgeber im Nacken zu spüren sei ein 
Eingriff in die Persönlichkeitsrechte, 
den Arbeitsgerichte in jahrelanger Tra- 
dition immer wieder untersagt hätten. 
Die Zustimmung eines willfährigen 
Betriebsrats rechtfertige eine Bespit- 
zelung ebenso wenig wie der vom Un- 
ternehmen angeführte Schutz vor Dieb- 
stahl, so Brink: „Viel zu allgemein”. Und 
selbst wenn man nur Arme und Oberkör- 
per sähe, wie Müller angibt, könne man 
durch Schichtpläne Rückschlüsse auf 
die einzelnen Personen ziehen. 

Dass die Arbeitsatmosphäre bei Müller 
Fleisch zwischen Unternehmensleitung 
und Mitarbeitenden unterschiedlich be- 
wertet wird, kann der Webseite des Kon- 
zerns, wo von sensibilisierter Leitkultur 
die Rede ist, und der Bewertungsplatt- 
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form Kununu entnommen werden. Dort 
berichten Beschäftigte in Bezug auf 
Vorgesetztenverhalten „komplette Ka- 
tastrophe”, Kommunikation „nicht vor- 
handen” und Arbeitsbedingungen „wie 
im Mittelalter“. Eine Personalreferentin 
bemühte sich um Schadenbegrenzung, 
als sie mitteilte, man habe die Verbes- 
serungsvorschläge zur Kenntnis genom- 
men und „durchleuchte“ diese. 

Immer wieder fällt die Fleischbran- 
che unangenehm in Bezug auf das 
Mitarbeiterüberwachen auf. Ihre ost- 
europäische Arbeitstrupps sind kaum 
in der Lage, sich hiergegen zu weh- 
ren. Die Tönnies-Gruppe musste im 
Jahr 2010 80.000 € Bußgeld zahlen; 
Kameras filmten dort sogar in Dame- 
numkleiden. Müller Fleisch erklärte zu 
den Vorwürfen, die eigenen Kameras 
seien gesetzeskonform; dazu gebe es 
eine Betriebsvereinbarung. Die Kame- 
ras verfügen gemäß Herstellerangaben 
über einen sehr guten Zoom und eine 
ausgezeichnete Panoramasicht (Kla- 
witter, Gläserne Produktion, Der Spie- 
gel Nr. 39 19.09.2020, 67). 


Baden-Württemberg 


Erneute Novelle des Poli- 
zeirechts geplant 


Nachdem erst Ende 2017 das Polizei- 
gesetz des Landes Baden-Württemberg 
novelliert worden ist, plant Innenmi- 
nister Thomas Strobl (CDU) schon die 
nächste Novelle. Im Innenausschuss 
des Landtags wurde im Juli 2020 der 
ins Stocken geratene Zeitplan dafür 
abgestimmt. Im November 2017 hatte 
das von Strobl eingebrachte Gesetz Ver- 
schärfungen gebracht; die Polizei er- 
hielt etliche neue Kompetenzen. Die Re- 
form stand unter dem Eindruck dschi- 
hadistischer Terroranschläge. Es ging 
unter anderem um die digitale Überwa- 
chung von Verdächtigen, Fußfesseln für 
Gefährder oder die Ausrüstung von Spe- 
zialeinheiten mit Handgranaten (DANA 
4/2017, 210). 

Bei der nun vorgesehenen zweiten 
Reform in dieser Legislaturperiode soll 
zum einen das Gesetz an die EU-Richtli- 
nie zum Datenschutz für Justiz und In- 
neres angepasst werden. Die Richtlinie 
aus dem Jahr 2016 hätte bis zum Mai 


2018 umgesetzt werden müssen. Außer- 
dem erfordern zwei Entscheidungen des 
Bundesverfassungsgerichts Änderun- 
gen: ein Urteil von 2016 zum Bundes- 
kriminalamtsgesetz und ein Beschluss 
von 2018 zum Einsatz automatischer 
Kennzeichenlesesysteme. Darüber hin- 
aus will Strobl der Polizei erneut mehr 
Befugnisse einräumen. 

Auf dem Beteiligungsportal der Lan- 
desregierung steht eine Version eines 
Entwurfes, der aber noch im Innenmi- 
nisterium weiter bearbeitet wird. Geht 
man danach, so wird sehr viel überar- 
beitet. Allein die Änderungen des Ge- 
setzes umfassen 150 A4-Seiten, dazu 
kommen 124 Seiten Begründung. Doch 
nicht jede Änderung steht für eine neue 
Rechtsgrundlage. Das Gesetz soll gene- 
ralüberholt und neu durchstrukturiert 
werden. 

Vor allem zwei inhaltliche Punkte aus 
Strobls anfangs sehr umfangreichem 
Forderungskatalog haben die mona- 
telangen Verhandlungen mit seinem 
Koalitionspartner, den Grünen, über- 
standen und sollen eingeführt werden: 
Der Einsatz sogenannter Bodycams, 
von Polizisten am Körper getragener 
Kameras, soll ausgeweitet werden. Au- 
ßerdem sollen Kontrollen und Durch- 
suchungen von Personen im Rahmen 
öffentlicher Veranstaltungen erleich- 
tert werden. Bodycams sollen auch in 
geschlossenen Räumen benutzt wer- 
den dürfen, nicht mehr nur im Frei- 
en. Der polizeipolitische Sprecher der 
CDU-Fraktion, Siegfried Lorek, erklärte 
dazu im Landtag mit Blick auf Jugend- 
krawalle in Stuttgart: „Stellen Sie sich 
mal den Fallvor, ein Polizist wäre da ei- 
nem Plünderer hinterhergelaufen und 
hätte durch eine Schaufensterscheibe 
einen Laden betreten. Dann hätte der 
Polizist an der Schaufensterscheibe die 
Bodycam ausschalten müssen. Das ist 
völlig absurd.” Der SPD-Innenpolitiker 
Sascha Binder fürchtet, durch die Re- 
form werde die Rechtslage noch kom- 
plizierter. Er fordert, Polizisten besser 
für die bisher zulässige Nutzung zu 
schulen. 

Das polizeiliche Recht für Personen- 
feststellungen und Durchsuchungen 
soll erweitert werden. So sollen Be- 
amte ohne Anlass eine Person durch- 
suchen dürfen, wenn diese „bei oder 
im Zusammenhang mit öffentlichen 
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Veranstaltungen und Ansammlungen 
angetroffen wird, die ein besonderes 
Gefährdungsrisiko (...) aufweisen und 
dort erfahrungsgemäß mit der Bege- 
hung von Straftaten gegen Leib, Leben 
oder Sachen von bedeutendem Wert zu 
rechnen ist“. 

Kritiker halten die Regelungen für 
zu weitgehend. Der innenpolitische 
Sprecher der FDP-Fraktion, Ulrich Goll, 
sagte: „Identitätsfeststellungen oder 
gar Durchsuchungen stellen für die Be- 
troffenen einen erheblichen Freiheits- 
eingriff dar. Die Voraussetzungen dafür 
müssen sich eindeutig aus dem Gesetz 
ergeben. Der bloße Verweis aufpolizeili- 
che Erfahrungswerte ist zu unbestimmt 
und muss nachgebessert werden.” Der 
Deutsche Anwaltsverband hat ein Gut- 
achten erstellt, in dem er darlegt, dass 
das neue Gesetz aus vielfältigen Grün- 
den gegen das Grundgesetz verstoßen 
würde. Manche Bürgerrechtsorganisati- 
onen gehen in ihrer Kritik noch weiter. 
Polizeigewerkschaften dagegen unter- 
stützen das Reformvorhaben (Haber- 
mehl, Die nächste Polizeireform, www. 
tagblatt.de 07.07.2020). 


Baden-Württemberg 


Tübingens OB Palmer will 
Straftäterdaten von Asyl- 
bewerbern 


Tübingens Oberbürgermeister Boris 
Palmer (Grüne) forderte in einem Brief 
an Bundesinnenminister Horst See- 
hofer (CSU) eine Regelung, die einen 
Datenaustausch zwischen Polizei und 
Kommunen „für effektive Kriminalprä- 
vention und Integration“ ermöglicht: 
„Der Staat darf sich nicht so weit selbst 
beschränken, dass die rechte Hand 
nicht mehr weiß, was die linke tut.” 
Hintergrund ist ein Streit um den Da- 
tenschutz. In Tübingen hatte Palmer 
einen „strukturierten Informationsaus- 
tausch” etabliert, in dem neben der Aus- 
länderbehörde auch die Abteilung „Hil- 
fe für Geflüchtete” Zugriff auf eine von 
der Stadt geführte Liste mit straffälligen 
und gewaltbereiten Asylbewerbern hat- 
te. Diese Praxis wurde vom Landesbe- 
auftragten für Datenschutz Stefan Brink 
untersagt: Ermittlungsdaten der Polizei 
unterlägen einer strengen Zweckbin- 
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dung und dürften nicht pauschal für 
andere Zwecke genutzt werden. 

Diese enge Auslegung hält Palmer für 
falsch. „Eine Gesellschaft muss auch 
fordern, damit Integration gelingt“, 
schreibt er an Seehofer. Vor allem die 
kleine Gruppe der Mehrfachstraftäter 
unter den Asylbewerbern sei für einen 
großen Teil der Probleme verantwort- 
lich. Das sei „kein Pauschalurteil”: 
95% der Asylbewerber verhielten sich 
friedlich. Bei Personen, die „verstärkte 
Gewaltbereitschaft” erkennen ließen, 
müsse man aber auch als Kommune 
gegensteuern können - etwa durch So- 
zialarbeit: „Es ist auch im Sinne der Ge- 
flüchteten richtig und notwendig, früh- 
zeitig zu intervenieren, bevor sie auf die 
schiefe Bahn geraten.” 

Derzeit sei eine enge Zusammenarbeit 
zwischen Polizei und Sozialbehörden 
nicht möglich, da Informationen über 
Straftaten nur an die Ausländerbehör- 
de, nicht aber an Sozialarbeiter flie- 
ßen dürften. Durch die Beschränkung 
könne bei Geflüchteten der Eindruck 
entstehen, „dass selbst tätliche An- 
griffe mit einem Messer in Deutschland 
keinerlei Konsequenzen haben“. Auch 
zum Schutz der Mitarbeiter seien sol- 
che Informationen wichtig, um tätliche 
Übergriffe zu vermeiden: Beratungsge- 
spräche mit Personen von der besagten 
„Liste auffälliger Asylbewerber” seien 
zuletzt in Tübingen stets mit zwei Be- 
schäftigten durchgeführt worden. Pal- 
mer fordert eine Erweiterung der Daten- 
Zweckbindung, die in Form einer Ver- 
ordnung oder „nötigenfalls“ per Gesetz 
regelt, „dass Sicherheitsbehörden, Aus- 
länderbehörde und Sozialbehörde sinn- 
voll zusammenarbeiten können. Das 
dient der Gefahrenabwehr wie der Inte- 
gration gleichermaßen“ (Müller, Asyl- 
bewerber-Liste: Palmer bittet Seehofer 
um Hilfe, www.tagblatt.de 20.10.2020). 


Bayern 


Schüler mit Anti-Masken- 
Attest isoliert 


Sechs Kinder an einer Realschule in 
Roding im Kreis Cham wurden von ihren 
eigentlichen Klassen getrennt, weil sie 
per ärztlichem Attest von der Masken- 
pflicht befreit sein sollten. Der Schul- 


leiter Alexander Peintinger begründete 
seine Maßnahme mit der Zunahme sol- 
cher Atteste: „Die Eltern reden mit mir 
nicht darüber, was dem Kind fehlt, das 
bin ich anders gewohnt.” Die Eltern hät- 
ten das Attest nicht einmal aus der Hand 
gegeben; der Schulleiter durfte es nicht 
kopieren und nurim Stehen durchlesen. 
Besonders suspekt war für ihn, dass die 
Atteste zeitlich unbegrenzt und allevon 
derselben Praxis im Nachbarlandkreis 
Schwandorf kamen. Deshalb hatte der 
Schulleiter „erhebliche Zweifel” und 
reichte eine Beschwerde bei der Baye- 
rischen Landesärztekammer ein. Die- 
se nahm die Beschwerde an und prüft 
sie. Peintinger erklärte: „Ich hätte den 
Schülern den Zugang zur Schule eigent- 
lich verweigern müssen. Es gilt nun ein- 
mal Maskenpflicht. Ich habe eine Ver- 
antwortung allen Schülern gegenüber.” 
Das habe er mit seiner beruflichen 
Einstellung jedoch nicht vereinbaren 
können, weshalb er die Schüler in ei- 
nem separaten Klassenzimmer betreuen 
ließ. Bisher gab es an der Schule keinen 
Corona-Fall, das solle auch so bleiben. 
Das Verwaltungsgericht Würzburg sowie 
der Bayerische Verwaltungsgerichts- 
hof hatten derweil Eilanträge gegen die 
Maskenpflicht für Grundschüler abge- 
wiesen. Eltern hatten Atteste vorgelegt, 
in denen es ohne weitere Begründung 
hieß, sie könnten „aus gesundheitli- 
chen Gründen” die Masken nicht tragen 
(Masken-Atteste lösen Verwirrung aus, 
SZ 28.10.2020, 22). 


Bayern 


Diözesandatenschutz- 
beauftragter beklagte 
fehlende Ressourcen 


Der Diözesandatenschutzbeauftrag- 
te für die bayerischen Diözesen, Jupp 
Joachimski, sieht aufgrund zu geringer 
personeller und finanzieller Ausstat- 
tung seine Behörde auf Dauer nicht 
in der Lage, die rechtlichen Mindest- 
anforderungen für eine kirchliche Da- 
tenschutzaufsicht zu erfüllen. In sei- 
nem am 12.10.2020 veröffentlichten 
Tätigkeitsbericht beklagt er, dass „die 
bayerische kirchliche Datenschutzauf- 
sicht stark hinter den vergleichbaren 
Dienststellen anderer Bundesländer, 
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aber auch gegenüber staatlichen Da- 
tenschutzaufsichten” zurückbleibe und 
auf Dauer so die rechtlich geforderte 
Gleichwertigkeit der kirchlichen Daten- 
schutzaufsicht mit den staatlichen Be- 
hörden in Frage stehe. Zudem sei eine 
Mitarbeit in den bundesweiten Gremien 
der kirchlichen Datenschutzaufsichten 
kaum möglich. Er berichtet von einem 
seit Inkrafttreten des Gesetzes über den 
kirchlichen Datenschutz (KDG) im Mai 
2018 um 300% gestiegenen Aufkommen 
an Beschwerden von Betroffenen über 
Datenschutzverletzungen. Die Anzahl 
der Anzeigen von Datenpannen habe 
sich seither von ein bis zwei Meldungen 
pro Jahr auf zwei bis drei pro Woche er- 
höht. Im Bericht geht er außerdem auf 
Details zu den Beschwerden und Daten- 
schutzverletzungen ein. 

Joachimski, der das Amt des Diöze- 
sandatenschutzbeauftragten in Teilzeit 
ausfüllt, stehen zwei Planstellen zur 
Verfügung, von der eine seit 2018 nicht 
besetzt werden konnte. Die Aufsichtstä- 
tigkeit kann aufgrund des Fehlens eines 
Vertreters laut Bericht nur dadurch si- 
chergestellt werden, dass der Diözesan- 
datenschutzbeauftragte auch während 
des Urlaubs weiterarbeitet. Auch die 
Büroorganisation obliegt vollständig 
dem Behördenleiter. Die für einen ähn- 
lich großen Bereich zuständige nord- 
rhein-westfälische Aufsichtsbehörde, 
das Katholische Datenschutzzentrum 
Dortmund, kann laut dessen Tätigkeits- 
bericht über elf Planstellen verfügen. 

Für die bayerische Aufsicht sieht 
Joachimski sechs Planstellen als aus- 
reichend an. Die gegenwärtige Aus- 
stattung lasse sich aber aufgrund der 
besonderen Situation im Hinblick auf 
den geplanten Umzug nach Nürnberg 
„zeitweise“ vertreten. Das in Bayern 
praktizierte System „Leitender betrieb- 
licher Datenschutzbeauftragter” in den 
einzelnen Diözesen, die für das Daten- 
schutzmanagement zuständig sind, 
entlaste zudem die Aufsicht. 

2018 hatte die Freisinger Bischofs- 
konferenz die Einrichtung eines kirch- 
lichen Datenschutzzentrums in Nürn- 
berg beschlossen, die allerdings noch 
nicht umgesetzt wurde. Laut Bericht 
wurde die Anerkennung als Körper- 
schaft des öffentlichen Rechts bean- 
tragt, ein Zeitplan ist dem derzeitigen 
Chef der Aufsichtsbehörde jedoch nicht 
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bekannt. Die Amtszeit des ehemaligen 
Vorsitzenden Richters am bayerischen 
Obersten Landesgerichts als Diözesan- 
datenschutzbeauftragter sollte Ende 
September 2020 enden. Bis zur Benen- 
nung eines Nachfolgers führt er das Amt 
kommissarisch weiter. 

Die seit Mai 2018 geltende EU-Da- 
tenschutzgrundverordnung erlaubt es 
Kirchen und Religionsgemeinschaften, 
unter bestimmten Bedingungen ei- 
genes Datenschutzrecht anzuwenden 
und kirchliche Datenschutzaufsichten 
einzurichten, die die Einhaltung der 
kirchlichen Gesetze überwachen. Dabei 
muss allerdings sichergestellt sein, dass 
innerhalb der Religionsgemeinschaften 
ein Datenschutzniveau herrscht, das 
im Einklang mit dem EU-Recht steht. 
In Deutschland haben die katholische 
und die evangelische Kirche sowie meh- 
rere kleinere Religionsgemeinschaften 
von der Klausel Gebrauch gemacht und 
wenden eigenes Datenschutzrecht an. 
In Deutschland gibt es fünf katholi- 
sche Datenschutzaufsichten in Bremen, 
Dortmund, Frankfurt am Main, Mün- 
chen und Schönebeck, die jeweils für 
mehrere Bistümer zuständig sind (Bay- 
erische kirchliche Datenschutzaufsicht 
kann Aufgaben kaum erfüllen, www. 
katholisch.de 12.10.2020). 


Hamburg/Bayern 


Sensitive Beschäftigten- 
datensammlung bei H&M 


Im Fall der Überwachung von meh- 
reren hundert Mitarbeiterinnen und 
Mitarbeitern des H&M Callcenters in 
Nürnberg durch die Center-Leitung 
hat der Hamburgische Beauftragte für 
Datenschutz und Informationsfreiheit 
(HmbBfDI) einen Bußgeldbescheid in 
Höhe von 35.258.707,95 Euro gegen 
die H&M Hennes & Mauritz Online Shop 
A.B. & Co. KG erlassen, die ihren Sitz 
in Hamburg hat. Mindestens seit dem 
Jahr 2014 kam es bei einem Teil der 
Beschäftigten zu umfangreichen Erfas- 
sungen privater Lebensumstände. Ent- 
sprechende Notizen wurden auf einem 
Netzlaufwerk dauerhaft gespeichert. 
Nach Urlaubs- und Krankheitsabwe- 
senheiten - auch kurzer Art - führten 
die vorgesetzten Teamleader einen sog. 


Welcome Back Talk durch. Nach diesen 
Gesprächen wurden in etlichen Fällen 
nicht nur konkrete Urlaubserlebnisse 
der Beschäftigten festgehalten, son- 
dern auch Krankheitssymptome und Di- 
agnosen, „von der Blasenschwäche bis 
zur Krebserkrankung“, so der HmbBfDI 
Johannes Caspar. Einige Vorgesetzte 
eigneten sich über Einzel- und Flur- 
gespräche ein breites Wissen über das 
Privatleben ihrer Mitarbeitenden an, 
das von eher harmlosen Details bis zu 
familiären Problemen sowie religiösen 
Bekenntnissen reichte. Die Erkennt- 
nisse wurden teilweise aufgezeichnet, 
digital gespeichert und waren mitunter 
für bis zu 50 weitere Führungskräfte im 
ganzen Haus lesbar. Die Aufzeichnun- 
gen wurden bisweilen mit einem hohen 
Detailgrad vorgenommen und im zeit- 
lichen Verlauf fortgeschrieben. Die so 
erhobenen Daten wurden neben einer 
akribischen Auswertung der individuel- 
len Arbeitsleistung u.a. genutzt, um ein 
Profil der Beschäftigten für Maßnahmen 
und Entscheidungen im Arbeitsverhält- 
nis zu erhalten. Die Kombination aus der 
Ausforschung des Privatlebens und der 
laufenden Erfassung, welcher Tätigkeit 
sie jeweils nachgingen, führte zu einem 
besonders intensiven Eingriff in die 
Rechte der Betroffenen. 

Bekannt wurde die Datenerhebung 
dadurch, dass die Notizen infolge eines 
Konfigurationsfehlers im Oktober 2019 
für einige Stunden unternehmensweit 
zugreifbar waren. Nachdem der HmbBf- 
DI über die Datensammlung durch 
Presseberichte informiert worden war, 
ordnete er zunächst an, den Inhalt des 
Netzlaufwerks vollständig „einzufrie- 
ren” und verlangte dann die Herausga- 
be. Das Unternehmen kam dem nach 
und legte einen Datensatz von rund 60 
Gigabyte zur Auswertung vor. Verneh- 
mungen zahlreicher Zeuginnen und 
Zeugen bestätigten nach Analyse der 
Daten die dokumentierten Praktiken. 

Die Verantwortlichen sahen sich zur 
Ergreifung verschiedener Abhilfemaß- 
nahmen veranlasst. Dem HmbBfDI 
wurde ein umfassendes Konzept vor- 
gelegt, wie künftig am Standort Nürn- 
berg Datenschutz umgesetzt werden 
soll. Zur Aufarbeitung der vergangenen 
Geschehnisse hat sich die Unterneh- 
mensleitung nicht nur ausdrücklich bei 
den Betroffenen entschuldigt. Sie folgt 
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auch der Anregung, den Beschäftigten 
einen unbürokratischen Schadenersatz 
in beachtlicher Höhe auszuzahlen. Es 
handelt sich, so der HmbBf£DI, insoweit 
um ein bislang beispielloses Bekenntnis 
zur Unternehmensverantwortung nach 
einem Datenschutzverstoß. Weitere 
Bausteine des neu eingeführten Da- 
tenschutzkonzepts sind unter anderem 
ein neu berufener Datenschutzkoordi- 
nator, monatliche Datenschutz-Status- 
Updates, ein verstärkt kommunizierter 
Whistleblower-Schutz sowie ein konsis- 
tentes Auskunfts-Konzept. Nach dem 
Vorgang wurde in Nürnberg ein Be- 
triebsrat eingerichtet. 

Caspar erklärte zum Bußgeld, dieses 
sei „in seiner Höhe angemessen und 
geeignet, Unternehmen von Verletzun- 
gen der Privatsphäre ihrer Beschäftig- 
ten abzuschrecken”. Das Bemühen der 
Konzernleitung sei positiv zu bewerten, 
die Betroffenen vor Ort zu entschädigen 
und das Vertrauen in das Unternehmen 
als Arbeitgeber wiederherzustellen. 
H&M hatte für den Sachverhalt den Big- 
BrotherAward 2020 im Bereich Arbeits- 
welt erhalten (HmbB£DI, PE 01.10.2020, 
35,3 Millionen Euro Bußgeld wegen Da- 
tenschutzverstößen im Servicecenter 
von H&M; https://bigbrotherawards. 
de/ 2020/arbeitswelt-hm-hennes-und- 
mauritz). 


Nordrhein-Westfalen 


Bosbach-Kommission 
fordert zusätzliche Kompe- 
tenzen für Sicherheitsbe- 
hörden 


Der Ministerpräsident von Nordrhein- 
Westfalen Armin Laschet, der sich um 
den CDU-Bundesvorsitz und die Kanzler- 
kandidatur seiner Partei bewirbt, willden 
Bericht einer Expertenkommission zur 
Inneren Sicherheit nutzen, um für Geset- 
zesverschärfungen auf Bundesebene zu 
werben: Deutschland brauche „auch im 
Bund eine grundsätzliche Inventur der 
Sicherheits-Architektur”. Laschet stell- 
te in Düsseldorf den 150 Seiten starken 
Bericht der drei Jahre zuvor eingesetzten 
Kommission unter Vorsitz seines Partei- 
freundes Wolfgang Bosbach vor. 

Diese sogenannte Bosbach-Kommissi- 
on empfiehlt die Überwachung islamis- 
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tisch radikalisierter Kinder unter 14 Jah- 
ren durch den Verfassungsschutz oder 
auch eine Obergrenze für Barzahlungen 
beim Kauf von Immobilien oder teuren 
Autos zur Bekämpfung der Geldwäsche. 
Bosbach erläuterte: „Deutschland gilt 
hier als El Dorado“. Politisch umstritten 
ist der Vorschlag der Kommission, Ver- 
fassungsschutzbehörden den Zugriff auf 
verschlüsselte Messenger-Dienste wie 
WhatsApp zur Überwachung „relevanter 
Personen” zu erlauben. Der frühere Bun- 
desinnenminister Gerhart Baum (FDP) 
wies daraufhin, dass hier „eine sehr sen- 
sible Zone” bürgerlicher Freiheit berührt 
werde und eine Überwachungsbefugnis 
für den Verfassungsschutz „weitaus vor- 
sichtiger gestaltet werden (müsse) als 
etwa bei der Polizei”, da letztere strenge- 
ren richterlichen Kontrollen unterliege. 

Laschet selbst machte sich drei ande- 
re Vorschläge der insgesamt 15 Exper- 
ten zu eigen. Er unterstützte die Idee, 
durch die Veröffentlichung von Fotos 
mutmaßlicher Straftäter schneller und 
häufiger als bisher die Bevölkerung bei 
Fahndungen einzubinden. Zudem will 
Laschet eine präzisere und gerichtsver- 
wertbare Ortung des Handys eines Tätern 
zur Tatzeit erreichen, indem die exakte 
Größe und Stärke der Funkzellendaten 
bei den Mobilfunkbetreibern ermittelt 
und kartographiert werden. Bisher erhe- 
ben nur Bayern und Baden-Württemberg 
diese Daten. Zuletzt griff Laschet den 
Vorschlag auf, nach dem Vorbild von Fin- 
gerabdrücken oder DNS-Spuren künftig 
auch die Abgleiche von Ohr-Abdrücken 
und von Schuhsohlen-Abdrücken zent- 
ral zu speichern. Solche „automatisierte 
Datenbanken zum Spurenabgleich” kön- 
nen nach Meinung der Kommission vor 
allem die Fahndung nach Einbrechern 
unterstützen (Wernicke, Fotos und Ohr- 
Abdrücke, SZ 07.08.2020, 5). 


Schleswig-Holstein 


Marit Hansen als ULD- 
Chefin bestätigt 


Der bisherigen Leiterin des Unabhän- 
gigen Landeszentrums für Datenschutz 
Schleswig-Holstein (ULD) und Landes- 
datenschutzbeauftragten wurde am 
28.09.2020 vom Ministerpräsident des 
Landes Daniel Günther die Ernennungs- 


urkunde für ihre zweite Amtszeit überge- 
ben. Am 18.06.2020 war sie einstimmig 
vom Schleswig-Holsteinischen Landtag 
wiedergewählt worden. Die lange Dauer 
zwischen Wahl und Ernennung erklärt 
sich damit, dass zunächst das von einem 
Mitbewerber angerufene Schleswig-Hol- 
steinische Verwaltungsgericht das Ver- 
fahren überprüfen musste (DANA 3/2020, 
191 ff.). Das Gericht sah jedoch keinen 
Grund zur Beanstandung, die Landesre- 
gelungen seien konform mit den europa- 
rechtlichen Anforderungen. 

Hansen freute sich und wies darauf 
hin, dass die Ernennung auf einen be- 
sonderen Tag fiel: den „Right To Know 
Day“, den Internationalen Tag der In- 
formationsfreiheit: „Meine Dienststelle 
und ich sind nicht nur für Datenschutz 
zuständig, sondern auch für den Zugang 
zu Informationen bei öffentlichen Stel- 
len. In Sachen Transparenz ist das Land 
Schleswig-Holstein schon auf einem 
guten Weg, aber die Behörden können 
noch besser werden.” Hansen spricht 
sich nicht nur für „Datenschutz by De- 
sign” aus, sondern sieht auch ein großes 
Potential in der „Informationsfreiheit 
by Design” (ULD, PM 28.09.2020, Zweite 
Amtszeit für die Landesbeauftragte für 
Datenschutz Marit Hansen). 


Schleswig-Holstein 


Kritik der Politik an ULD- 
Ermittlungen nach Doku- 
menten-Leak 


Datenschutzrechtliche Ermittlungen 
des Unabhängigen Landeszentrums für 
Datenschutz (ULD) sorgten im Landtag 
Schleswig-Holstein für hitzige Diskus- 
sionen: Der Norddeutsche Rundfunk 
(NDR) hatte im Mai 2020 über eine 
Dienstaufsichtsbeschwerde gegen die 
Polizeibeauftragte des Landes, Samiah 
El Samadoni, berichtet, die ihm zuvor 
zugespielt worden war. Diese schaltete 
daraufhin die Datenschutzbeauftrag- 
te des Landes, Marit Hansen, ein. De- 
ren Behörde, das ULD, untersuchte das 
Filmmaterial des NDR, um Hinweise auf 
das mögliche Datenleck zu finden. Da- 
bei stellte das ULD fest, dass die Her- 
kunft des im Fernsehen abgebildeten 
Dokuments auf Grund bestimmter Ei- 
genschaften eingegrenzt und dass ein 
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Datenleak beim Ältestenrat des Land- 
tags nicht ausgeschlossen werden kann. 

Dies stieß auf Kritik des schleswig- 
holsteinischen Bundestagsabgeord- 
neten und FDP-Bundesvize Wolfgang 
Kubicki: Aufgabe sei es nur, Verstöße 
gegen den Datenschutz aufzudecken, 
nicht Quellen von Journalisten. Er sieht 
hierin eine Grenzüberschreitung und 
Gefahr: „Denn das würde dazu führen, 
dass alle Whistleblower, diejenigen, 
die etwas weitergeben, wenn sie glau- 
ben, es läuft etwas falsch im Staate, 
durch den Datenschutz kriminalisiert 
werden, was sicher nicht sein kann.” 
SPD-Fraktionschef Ralf Stegner dage- 
gen meinte, die Pressearbeit sei nicht 


betroffen, „weil es ja nicht darum geht, 
dass irgendjemandem etwas vorgewor- 
fen wird, der das Dokument bekommen 
und verwendet hat.” Das sei in der Tat 
Pressefreiheit. Aber, so Stegner weiter: 
„Der das übermittelt hat, der hat ziem- 
lich sicher gegen Recht verstoßen. Das 
ist ein schwerwiegender Vorgang.” 
Hansen wies Vorwürfe gegen ihre Be- 
hörde in diesem Zusammenhang zurück: 
„Wenn es sich um Datenschutzverstöße 
handelt, personenbezogene Daten, die 
so nicht weitergegeben werden dürfen, 
wo auch welche geschädigt werden kön- 
nen durch Berichterstattung, dann ha- 
ben die Betroffenen das Recht uns anzu- 
rufen.” Die Aufgaben ihrer Behörde sei- 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Corona beschleunigt Über- 
wachung 


Freedom House 


Ein Bericht der nichtstaatlichen US- 
Bürgerrechtsorganisation „Freedom 
House“ beschreibt, wie die Corona-Pan- 
demie in vielen Ländern missbraucht 
wird, um neue Instrumente zur digi- 
talen Überwachung zu schaffen. Die 
Pandemie habe zu einem „dramatischen 
Verfall” der Freiheit im Internet geführt. 
In ihrem jährlichen „Freedom on the Net 
Report” untersucht die Organisation, 
wie es international um die digitale Re- 
defreiheit und das Recht auf die eigenen 
Daten steht. 2020 zeigt sich danach ein 
„besonders düsteres” Bild: Staatliche 
und private Akteure in zahlreichen 
Ländern hätten die Krise genutzt, um 
online veröffentlichte Informationen 
zu steuern, kritische Berichte zu un- 
terdrücken und neue Technologien zur 
sozialen Kontrolle zu installieren. 

Der Bericht beschreibt, wie in einer 
Pandemie ein freier Zugang zu Informa- 
tionen „den Unterschied zwischen Le- 
ben und Tod bedeuten” kann. Behörden 
in mindestens 28 von 65 untersuchten 
Ländern haben danach Websites ge- 
sperrt oder einzelne Nutzer, Plattformen 
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oder Online-Publikationen gezwungen, 
Informationen über die Ausbreitung der 
Pandemie zu löschen. In mindestens 13 
Ländern sei das Internet zeitweise ganz 
abgeschaltet worden, besonders häufig 
in Regionen, in denen Minderheiten 
leben. Neue Gesetze zur Eindämmung 
vermeintlich falscher Nachrichten über 
das Infektionsgeschehen oder zum Er- 
halt der öffentlichen Ordnung würden 
vielfach missbraucht. Zu beobachten 
sei das innerhalb der EU etwa in Ungarn 
gewesen, wo ein Mann, der Premiermi- 
nister Viktor Orban auf Facebook wegen 
dessen Corona-Politik einen „grausa- 
men Tyrannen“ genannt hat, wegen „Pa- 
nikmache“ inhaftiert worden ist. 

Der Bericht widmet sich ausführlich 
den Corona-Apps, die in zahlreichen 
Ländern im Einsatz sind, um Träger des 
Virus zu identifizieren und deren Kon- 
takte nachzuvollziehen. Es ist möglich, 
diese Apps so zu programmieren wie 
die deutsche Corona-Warn-App, wo In- 
formationen nicht zentral gespeichert, 
sondern lediglich mit einem Pseudonym 
versehen direkt zwischen den Nutzern 
ausgetauscht werden. In mindestens 
54 Ländern aber existieren laut dem 
Bericht nur minimale Vorkehrungen 
gegen den Missbrauch solcher sensib- 
len Informationen, die zudem vielfach 
mit bereits existierenden, öffentlich 
oder privatwirtschaftlich erhobenen 


en klar definiert, auch die Grenzen der 
Befugnisse. So könne das ULD, anders 
als möglicherweise die Staatsanwalt- 
schaft, beim NDR keine Razzia durch- 
führen. Im Fall der weitergereichten 
Dienstaufsichtsbeschwerde hat das ULD 
das Verfahren eingestellt. Es konnte, so 
Hansen, nicht herausgefunden werden, 
von wem das Dokument weitergegeben 
wurde. Die Staatsanwaltschaft ermit- 
telt weiter (Böhnke, Fall El Samadoni: 
Dürfen Datenschützer nach Quellen su- 
chen? www.ndr.de 24.09.2020). 


Daten über die Bürger gekoppelt und 
an verschiedene Behörden weitergege- 
ben werden. Die russische App zur Kon- 
taktverfolgung teile etwa GPS-Daten, 
Anruflisten und andere Informationen 
mit dem wachsenden russischen Über- 
wachungsapparat. Zudem verlangt sie 
unter Strafandrohung in unregelmäßi- 
gen Abständen Selfies der Nutzer, die 
damit beweisen sollen, dass sie sich 
an Quarantäne-Verordnungen halten. 
Ähnlich in Indien, wo unter Beamten im 
Scherz gesagt werde: „A selfie an hour 
keeps the police away”. 

In mindestens 30 Ländern finden laut 
dem Bericht Überwachungsmaßnah- 
men in direkter Partnerschaft mit Tele- 
kommunikationsanbietern und anderen 
Unternehmen statt. Die händigten den 
Regierungen die Kontaktdaten der Bür- 
ger aus. Besonders besorgniserregend 
sei, dass mit der Verarbeitung solcher 
Daten in vielen Fällen nationale Si- 
cherheits- und Militärbehörden betraut 
werden, etwa in Pakistan, wo der Ge- 
heimdienst der Streitkräfte, dem Men- 
schenrechtsverletzungen vorgeworfen 
werden, nun Kontaktnachverfolgung 
betreibe. In pakistanischen Geheim- 
dienstberichten sei die Rede von abge- 
hörten Telefonaten in Krankenhäusern, 
mit denen ermittelt werden solle, ob 
Freunde und Bekannte von Patienten 
ebenfalls Symptome zeigen. 
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Südkoreanische Beamte griffen aufKre- 
ditkartenabrechnungen, Handystandorte 
und Sicherheitskameras zu, um die Aus- 
breitung des Virus zu überwachen. Der 
Bericht warnt auch vor der zunehmenden 
Verbreitung intelligenter Kameras, die 
mithilfe biometrischer Daten Gesichter 
erkennen können. Etwa in Moskau, wo 
100.000 solcher Geräte installiert worden 
seien, um die Einhaltung von Quaran- 
täne-Verordnungen zu überwachen. In 
China seien Menschen zu diesem Zweck in 
einigen Fällen sogar aufgefordert worden, 
Webcams in ihren Wohnungen und vor ih- 
ren Haustüren zu installieren. 

Gemäß dem Bericht wird es „schwie- 
rig, wenn nicht unmöglich” sein, solche 
Instrumente zur Überwachung wieder 
außer Betrieb zu nehmen, nachdem das 
Virus bezwungen ist. Die Geschichte 
zeige, „dass neue staatliche Vollmach- 
ten für gewöhnlich die ursprüngliche 
Bedrohung überdauern”. Zahlreiche 
problematische Entwicklungen hätten 
sich durch übereilte Maßnahmen auch 
in demokratischen Staaten gezeigt. 

Im Rahmen der Erstellung des Be- 
richts über die Netzfreiheit haben die 
Analysten 65 Länder untersucht, in de- 
nen insgesamt etwa 87% der weltweiten 
Internetnutzer leben. Der Zeitraum der 
Untersuchung war Juni 2019 bis Mai 
2020. In einem Ranking dieser Länder 
sehen die Analysten Deutschland mit 80 
von 100 möglichen Punktenim positiven 
Sinne auf dem vierten Platz. Den ersten 
belegt Island (95 Punkte). China landet 
mit zehn Punkten das sechste Jahr in 
Folge auf dem letzten Platz. In die Be- 
wertung fließt unter anderem auch ein, 
wie große Teile der Bevölkerung Zugang 
zum Internet haben und wie gut Men- 
schenrechte online geschützt werden. 


Bericht des Europarats 


Ein Bericht des Europarats, der 55 
europäische, lateinamerikanische und 
afrikanische Regierungen auf die Über- 
wachungsfolgen der Corona-Pandemie 
untersucht, kommt zu ähnlichen Ergeb- 
nissen. Der Europarat mit Sitz in Straß- 
burg ist eine europäische internationa- 
le Institution, der 47 Mitgliedsstaaten 
angehören. Er hat sich die Förderung 
des wirtschaftlichen und sozialen Fort- 
schritts zur Aufgabe gemacht und küm- 
mert sich um Fragen der demokratischen 
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Sicherheit, darunter die Einhaltung der 
Menschenrechte. Untersucht wurden in 
dem Bericht die Staaten, die dasseit 1985 
geltende Datenschutzübereinkommen 
„Konvention 108“ unterschrieben haben. 
Dem gemäß wurde trotz Warnungen des 
Europarats zu den Tracing-Apps bereits 
im Frühjahr 2020 das Übereinkommen 
der Konvention 108 von den Unterzeich- 
nerstaaten nicht so genau genommen. 
Der Europarat hatte angesichts von Pla- 
nungen zu Contact-Tracing-Apps zur 
Kontaktverfolgung Covid-19-Infizierter 
darauf hingewiesen, das Gebot der Da- 
tensparsamkeit zu beachten. Die infor- 
mationelle Selbstbestimmung der Bürger 
dürfte nicht beeinträchtigt werden. 

Im Bericht „Digital Solutions to fight 
COVID-19* analysiert der Europarat 
die von den Einzelstaaten mittlerwei- 
le getroffenen Gesetze und erstellten 
Tracing-Apps. Bemängelt werden vom 
Europarat mangelnde Gesetzesgrundla- 
gen für die Maßnahmen und in einigen 
Fällen konkrete Verstöße gegen das 
Datenschutzübereinkommen. So haben 
beispielsweise Slowenien, Griechenland 
und Ungarn Patientenlisten mit der Po- 
lizei und Gesundheitsbehörden geteilt. 
Andere Staaten haben Daten von Pati- 
enten oder kürzlich Verstorbenen nur 
teilweise anonymisiert. 

Der Bericht kritisiert, dass entgegen 
mehrfacher Aufforderungen des Euro- 
parats kompatible Systeme in Europa zu 
implementieren, Staaten eigene, ganz 
unterschiedliche Maßnahmen ergriffen 
haben. Durch die mangelnde Interope- 
rabilität der Tracing-Apps und die feh- 
lende Koordination sei die Wirksamkeit 
der Kontaktverfolgung, Selbstdiagnose 
und Durchsetzung der unterschied- 
lichen Corona-Maßnahmen schlecht 
ausgefallen (Bovermann, Selfies für 
den Staat, SZ 15.10.2020, 15; Dehling, 
Europarat: Datenschutzmängel bei 
Corona-Maßnahmen der Konvention- 
108-Staaten, www.heise.de 13.10.2020, 
Kurzlink: https://heise.de/-4926844). 


Weltweit 


Datenbanken im Internet 
oft ungenügend geschützt 


Gemäß einer Untersuchung von Nord- 
Pass ist das Internet voll von exponier- 


ten Datenbanken. Deutschland steht 
dabei weltweit an vierter Stelle. Aufge- 
funden wurden hier 361 ungesicherte 
Datenbanken mit 248.252.244 Einträ- 
gen, darunter befinden sich auch per- 
sönliche Daten wie E-Mails, Passwörter 
und Telefonnummern. Insgesamt wur- 
den in 20 Ländern 9.517 ungesicherte 
Datenbanken mit 10.463.315.645 Ein- 
trägen gefunden. 

Die Liste wird von China angeführt. 
Dort fand man fast 3.794 exponier- 
te Datenbanken. Das bedeutet, dass 
2.629.383.174 Konten von Nutzern ge- 
fährdet sind. An zweiter Stelle befinden 
sich die Vereinigten Staaten mit fast 
3.000 ungesicherten Datenbanken und 
knapp 2,3 Milliarden online verfügba- 
ren Einträgen. Mit 520 ungesicherten 
Datenbanken und 4.878.723 Einträgen 
befindet sich Indien an dritter Stelle. 

Einige dieser Daten haben vielleicht 
keinen großen Nutzen und taugen nur zu 
Testzwecken. Einige davon können dage- 
gen großen Schaden anrichten, wenn sie 
offengelegt werden. Einige der größten 
Datenlecks desletzten Jahres resultierten 
aus offengelegten Datenbanken. So wa- 
ren zum Beispiel Millionen Facebook-Da- 
tensätze auf einem öffentlichen Amazon 
Server zugänglich. Bei einem anderen 
Vorfall wurden durch eine ungesicherte 
Datenbank Informationen von 80 Millio- 
nen Haushalten in den USA enthüllt. Bei 
den Daten ging es um die Adressen der 
Familien, das Einkommen und den Fami- 
lienstand. Ein weiteres Datenleck gab es 
in einer Rehabilitationsklinik in den USA. 
Dort wurden fast 150 000 private Patien- 
tendaten preisgegeben. 

Die Daten werden oft nicht durch ei- 
nen erfahrenen Hacker offengelegt, 
sondern tauchen schlicht und einfach 
in einer öffentlichen Datenbank auf. 
Suchmaschinen wie Censys oder Shodan 
scannen das Internet ständig und ma- 
chen es fürjeden möglich, offene Daten- 
banken mit wenigen Klicks aufzuspü- 
ren. Wenn der Datenbank-Manager die 
Standard-Anmeldedaten verwendet, ist 
es ein Kinderspiel, diese zu herauszu- 
finden, so Chad Hammond, Sicherheits- 
experte bei NordPass: „Mit der richtigen 
Ausrüstung ist es möglich, das gesamte 
Internet in nur 40 Minuten selbststän- 
dig zu scannen.” Datensicherheit und 
Datenschutz sollten oberste Priorität 
haben: „Jedes Unternehmen, jede Ins- 
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titution und jeder Entwickler sollte si- 
cherstellen, dass Datenbanken niemals 
geknackt werden können, weil dies of- 
fensichtlich eine große Bedrohung für 
Nutzerdaten darstellt.” 

Die Hauptaspekte der Datenbanksi- 
cherheit sind laut Hammond „Datenver- 
schlüsselung, Identitätsmanagement 
und Schwachstellenmanagement. Daten 
können sowohl während sie versendet 
werden als auch während der Zeit, in der 
sie ruhen, einem Risiko ausgesetzt sein. 
Deshalb müssen sie in beiden Fällen ge- 
schützt werden.” Hierfür gibt es verschie- 
dene Ansätze, aber die Verschlüsselung 
spielt beim Datenschutz eine tragende 
Rolle. Sie ist ein anerkanntes Mittel, um 
Daten sowohl bei der Übertragung als 
auch im Ruhezustand zu sichern. Alle 
Daten sollten durch die Nutzung starker 
und vertrauenswürdiger Algorithmen 
verschlüsselt werden, anstatt nur durch 
benutzerdefinierte oder zufällige Metho- 
den. Die Wahl einer geeigneten Schlüs- 
sellänge sei wichtig, um das System vor 
Angriffen zu schützen. 

Ein weiterer wichtiger Schritt ist dem- 
nach das Identitätsmanagement: „Da- 
mit kann sichergestellt werden, dassnur 
berechtigte Personen im Unternehmen 
Zugang zu technologischen Ressour- 
cen haben. Jedes Unternehmen sollte 
ein Sicherheitsteam vor Ort haben, das 
für das Schwachstellen-Management 
verantwortlich ist und Sicherheitslü- 
cken frühzeitig erkennen kann.” Der 
Sicherheitsexperte machte erneut auf 
die Bedeutung eines sicheren Passworts 
aufmerksam: „Die Tatsache, dass uns 
mehr als 10 Milliarden Passwörter zur 
Verfügung stehen, sollte die Leute dazu 
motivieren, lange und starke Passwörter 
zu wählen. Lautet Ihr Passwort "12345 ° 
kann auch die allerbeste Firewall Ihre 
Daten nicht mehr schützen. Ihr Pass- 
wort sollte auch kein Wort sein, das in 
einem Wörterbuch steht. Eine durch- 
schnittliche Person verwendet nur etwa 
20.000 bis 30.000 Wörter. Es kann also 
sein, dass alle bereits zu diesen 10 Milli- 
arden gehören.” 

NordPass arbeitete mit einem White- 
Hat-Hacker zusammen, der Elastic- 
search und mongoDB Bibliotheken nach 
exponierten, ungeschützten Datenban- 
ken durchsucht hat. Wurde er fündig, 
loggte er sich in die öffentlich zugäng- 
lichen Datenbanken ein und überprüfte, 
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welche Arten von Daten dort zu finden 
waren. Der Untersuchungszeitraum war 


Juni 2019 bis Juni 2020. 
Die Rangliste: 
China 3.794 
USA 2.703 
Indien 520 
Deutschland 361 
Singapur 355 
Frankreich 247 
Südafrika 239 
Niederlande 149 
Russland 148 
Großbritannien 140 
Südkorea 129 
Irland 124 
Vietnam 121 
Hongkong 100 
Brasilien 99 
Japan 81 
Kanada 78 
Iran 47 
Australien 46 
Taiwan 36 


(Über 248 Millionen persönliche 
Online-Zugangsdaten deutscher Inter- 
netnutzer offengelegt, www.all-about- 
security.de 30.07.2020). 


Irland/Europa 


Facebook wehrt sich gegen 
Datentransferverbot 


Der Facebook-Konzern wehrt sich ge- 
gen das Verbot eines Transfers von Nut- 
zerdaten in die USA, indem er die vor- 
läufige Anordnung der irischen Daten- 
schutzbehörde, die Datenübertragung 
abzustellen, vor dem obersten Gericht 
des Landes angefochten hat. Die Be- 
schwerde gegen die irische Data Protec- 
tion Commission wurde am 10.09.2020 
eingereicht. Facebook wirft den Daten- 
schützern vor, ohne eine Empfehlung 
der Datenschützer auf EU-Ebene gehan- 
delt zu haben: „Ein Fehlen von siche- 
ren und legalen internationalen Daten- 
transfers hätte schwerwiegende Konse- 
quenzen für die europäische Wirtschaft. 
Wir fordern die Regulierungsbehörden 
auf, eine pragmatische und angemes- 
sene Herangehensweise zu wählen, bis 
eine nachhaltige, langfristige Lösung 
erreicht werden kann.” 


Die irische Datenschutzbehörde lehn- 
te eine Stellungnahme ab. Für den US- 
Konzern, der seinen Firmensitz in Euro- 
pa in Irland hat, ist das eine operative 
und rechtliche Herausforderung, die 
einen Präzedenzfall für andere Techno- 
logiegiganten schaffen könnte. Die iri- 
sche Behörde setzt mit ihrer Anordnung 
eine Entscheidung des Europäischen Ge- 
richtshofs (EuGH) vom 16.07.2020 über 
Datentransfers durch (DANA 3/2020, 
199 ff.). Dieses Urteil schränkte die Wei- 
tergabe von persönlichen Informatio- 
nen über Europäer durch Unternehmen 
wie Facebook an den Mutterkonzern in 
den USA ein, da Europäer keine wirk- 
same Möglichkeit haben, gegen eine 
Überwachung durch die amerikanische 
Regierung vorzugehen. 

Die Datenschutzbehörde in Dublin 
hatte Facebook bis Mitte September 
2020 Zeit gegeben, eine Antwort auf die 
vorläufige Anordnung zu geben. Danach 
soll ein Entwurf einer Anordnung an den 
Europäischen Datenschutzausschuss 
gehen. Ein Facebook-Sprecher sagte, 
dass man der Aufforderung fristgerecht 
nachkommen wolle (Facebook wehrt 
sichgegen das Verbot einesTransfersvon 
Nutzerdaten in die USA, www.finanzen. 
net 11.09.2020). 


Dänemark 


Auslandsgeheimdienst FE 
bespitzelt dänische Bürger 


Dänemarks sozialdemokratische 
Verteidigungsministerin Trine Bram- 
sen hat den Chef des Militär- und Aus- 
landsgeheimdiensts des Landes „Fors- 
varets Efterretningstjeneste” (FE) und 
drei leitende Mitarbeiter suspendiert. 
Hintergrund sind Untersuchungen 
auf Basis von Dokumenten, die Whist- 
leblower an die Aufsichtsbehörde Til- 
synet med Efterretningstjenesterne 
(TET) übergeben haben. Demnach wur- 
den von dem Geheimdienst nicht nur 
widerrechtlich dänische Staatsbürger 
ausspioniert und die dabei gesammel- 
ten Daten auch weitergegeben. Der 
nun suspendierte Geheimdienstchef 
Lars Findsen soll außerdem Informa- 
tionen vor der Aufsichtsbehörde zu- 
rückgehalten und falsche Angaben 
gemacht haben. Ein anderer Suspen- 
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dierter ist Findens Vorgänger, Thomas 
Ahrenkiel, der den Geheimdienst von 
2010 bis 2015 geleitet hatte. Eigent- 
lich sollte Ahrenkiel am 01.09.2020 als 
neuer Botschafter Dänemarks in Berlin 
sein Amt antreten. Daraus wurde nun 
nichts. Ministerpräsidentin Mette Fre- 
deriksen erklärte, sie nehme die Vor- 
würfe „sehr sehr ernst“. 

Die für die Überwachung der Geheim- 
dienste zuständige Aufsichtsbehörde 
TET hatte am 24.08.2020 mitgeteilt, 
dass sie im November 2019 Dokumente 
zu Fehlverhalten beim FE erhalten hat- 
te. Der Dienst ist für die Sammlung von 
Informationen im Ausland zuständig, 
die die nationale Sicherheit Dänemarks 
und der dänischen Truppen betreffen. 
Die Aufseher haben die Dokumente 
nach eigenen Angaben geprüft und 
nun Empfehlungen formuliert. Geprüft 
werden sollte demnach, ob sich der Ge- 
heimdienst an die geltenden Gesetze 
gehalten hat und ob die Verantwortli- 
chen wahrheitsgemäß über die Überwa- 
chungsfähigkeiten informiert wurden. 
Außerdem sollten Whistleblower besser 
geschützt werden. 

Der FE ist mit einem Budget von jähr- 
lich einer Milliarde Kronen (ca. 130 
Mio. €) Dänemarks best ausgestatteter 
Geheimdienst. FE soll Dänemark vor 
internationalem Terrorismus und Cy- 
berangriffen schützen und beobachtet 
das geopolitische Ringen in der Ark- 
tis ebenso wie die Herausforderungen 
durch Russland und China. Das Gesetz 
erlaubt FE-Spionen im Interesse Däne- 
marks „Ausländer zu überwachen und 
zu hintergehen”. Dem Dienst ist es aber 
gemäß der dänischen Zeitung Politi- 
ken untersagt, „seine enorme Macht zu 
missbrauchen, um diejenigen illegal zu 
überwachen, die sie schützen sollen - 
die dänischen Bürger“. 

Das vierseitige Dokument der Auf- 
sichtsbehörde enthält keine konkreten 
Angaben zu den Vorwürfen. Beobachter 
in Dänemark weisen bereits darauf hin, 
dass wegen der sensiblen Natur der Ar- 
beit des Geheimdienstes nicht viel an 
die Öffentlichkeit dringen dürfte. Ins- 
gesamt erinnern die Vorwürfe aber an 
verschiedene Geheimdienstskandale 
der vergangenen Jahre - allen voran die 
Snowden-Enthüllungen im Jahr 2013 
- nur hatten diese selten vergleichbare 
Konsequenzen. Der Nachrichtendienst 
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FE stand 2017 schon einmal in der 
Kritik der TET. Schon damals hieß es, 
Staatsbürger seien illegal ausspioniert 
worden. Der FE hatte die Vorfälle stets 
so erklärt, dass es sich dabei um unab- 
sichtlichen Beifang von Auslandsope- 
rationen gehandelt habe. Im aktuellen 
Bericht ist erstmals davon die Rede, 
dass der Dienst Spionage gegen Dänen 
absichtlich und systematisch betrie- 
ben hat. Der FE soll gar eine Akte über 
ein Mitglied der Geheimdienstaufsicht 
selbst angelegt haben. Dies ist für den 
Politologen Malte Froslee Ibsen „scho- 
ckierend”. 

Ein Großteil des Materials, das zur 
Enthüllung geführt hat, ist als geheim 
eingestuft. Die Presse begrüßte es, 
dass die Verfehlungen offiziell bekannt 
gemacht wurden und vier hochrangige 
Verantwortliche dafür suspendiert wor- 
den sind. Es wurde darauf verwiesen, 
dass die Enthüllungen allein den ano- 
nymen Whistleblowern zu verdanken 
seien. Es begann eine Debatte über die 
Rolle der Geheimdienstaufsicht. 

TET war 2014 als unabhängige Behör- 
de eingerichtet worden, um dafür zu 
sorgen, dass die im Zuge der Terrorbe- 
kämpfung zunehmend mächtigen Ge- 
heimdienste sich innerhalb der für sie 
demokratisch festgelegten Regeln und 
Gesetze bewegen. Die Aufsicht wurde oft 
als zahnlos kritisiert. Bei TET arbeiten 
fünf gewählte Mitglieder mit einem Stab 
von acht Mitarbeitern und einem Jahres- 
budget von umgerechnet 1,13 Mio. €. Die 
Zeitung Politiken kommentierte, es gebe 
ein „grobes Missverhältnis” zwischen der 
Stärke der Kontrolleure und der Geheim- 
dienste. Man brauche sich nicht wun- 
dern, dass die Aufsicht „in allden Jahren 
hinters Licht geführt wurde“. 

Der TET-Bericht fordert das Parla- 
ment auf, schnellstmöglich ein Whist- 
leblower-Programm für Geheimdienst- 
mitarbeiter einzurichten. Die Politiker 
sollten prüfen, ob die Geheimdienst- 
aufsicht tatsächlich „über die erfor- 
derlichen Kompetenzen und Ressour- 
cen verfügt“. Verteidigungsministerin 
Bramsen erklärte, sie werde umgehend 
eine unabhängige Untersuchung der 
Vorwürfe einleiten. Finden wies die 
gegen ihn vorgetragenen Vorwürfe zu- 
rück und nahm seine Mitarbeiter in 
Schutz: Sie hätten die nun erhobenen 
Anschuldigungen „nicht verdient”. Der 


jetzt suspendierte Finden ist seit 2015 
Chef des Geheimdiensts. Vorher hatte er 
auch schon mehrere Jahre den Inlands- 
geheimdienst PET geleitet. Verteidi- 
gungsministerin Bramsen versicherte, 
dass sie die Angelegenheit mit größtem 
Ernst betrachte: „Esist wichtig, dass wir 
darauf vertrauen können, dass unsere 
Geheimdienste im Rahmen ihrer Befug- 
nisse agieren”. 

Die Reaktionen reichen von Fas- 
sungslosigkeit bis Zorn. Die rot-grüne 
Einheitsliste, welche die sozialdemo- 
kratische Minderheitsregierung unter- 
stützt, sprach von einem „möglichen 
Angriff auf die dänische Demokratie“. 
Die rechtspolitische Denkfabrik Jus- 
titia warnte vor einem „Staat im Staa- 
te”. Der Politikwissenschaftler Ibsen 
sieht in dem Vorgang einen „histori- 
schen Vertrauensbruch“. Nach allem, 
was bislang ans Licht gekommen sei, 
sei das Verhalten des FE „einer Bana- 
nenrepublik“ würdig (Holland, Illegale 
Überwachung und Vertuschung: Däni- 
scher Geheimdienstchef suspendiert, 
www.heise.de 25.08.2020, Kurzlink: 
https://heise.de/-4878099; Strittmat- 
ter „Einer Bananenrepublik würdig”, SZ 
26.08.2020, 7). 


Großbritannien 


20 Mio.-Pfund-Daten- 
schutzstrafe gegen British 
Airways 


Die britische Datenschutzbehörde, 
das Information Commissioner’s Office 
(ICO), hat gegen British Airways (BA) 
ein Bußgeld in Höhe von 20 Millionen 
Britische Pfund wegen Verstößen gegen 
Gesetze zum Absichern der Privatsphäre 
von Kunden und Mitarbeitern verhängt. 
Dies entspricht umgerechnet rund 22 
Millionen €. Das ICO wirft der Fluggesell- 
schaft vor, „eine erhebliche Menge an 
persönlichen Daten ohne angemessene 
Sicherheitsmaßnahmen verarbeitet zu 
haben“. In Folge sei es zu einer Cyberat- 
tacke gekommen, die das Unternehmen 
über zwei Monate lang nicht entdeckt 
habe (DANA 4/2018, 210f.). 

2019 hatte das ICO noch erklärt, die 
Strafe auf etwa 204 Millionen Euro fest- 
legen zu wollen, was 1,5% des Umsatzes 
der BA im vorangegangenen Geschäfts- 
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jahr weltweit entsprochen hätte (DANA 
3/2019, 161). Gemäß der Datenschutz- 
Grundverordnung (DSGVO), auf deren 
Basis die Aufsichtsbehörde das Verfah- 
ren einleitete, wäre eine Höchststra- 
fe von bis zu 4% der Geschäftssumme 
möglich gewesen. Dass die Buße nun 
deutlich geringer ausfällt, begründet 
das ICO mit aktuellen Umsatzeinbußen 
bei BA durch die Corona-Pandemie. 
Man habe zudem weitere Einwände des 
Konzerns gegen den ursprünglichen Be- 
rechnungsansatz berücksichtigt. 

Bei dem Angriff 2018 hatten Cy- 
berkriminelle potenziell Zugriff auf 
persönliche Daten von rund 429.612 
Kunden und Belegschaftsmitgliedern. 
Dies schloss die Namen, Adressen und 
Kreditkarteninformationen inklusive 
der Sicherheitscodes des Card Valida- 
tion Value (CVV) von 244.000 Kunden 
mit ein. Dazu kamen Nutzernamen und 
Passwörter von Mitarbeitern wie Ad- 
ministratoren sowie von Inhabern von 
Premium-Vielflieger-Karten. Die ICO- 
Ermittler meinten, das Unternehmen 
hätte die Sicherheitslücken früher ent- 
decken und schließen müssen. Dazu 
hätten gängige Schutzmaßnahmen wie 
begrenzte Zugriffsrechte, Zwei-Fakto- 
ren-Authentifizierung und „gründliche 
Tests” der Infrastruktur ausgereicht. Ei- 
nige der Vorkehrungen wären über Ein- 
stelloptionen des Microsoft-Betriebs- 
systems verfügbar gewesen, das BA 
genutzt habe. Allerdings habe die Firma 
ihre IT-Sicherheit nach der Attacke er- 
heblich verbessert. 

Die britische Datenschutzbeauftrag- 
te Elizabeth Denham betonte, dass es 
sich um die höchste Strafe handle, die 
dasICO bislang verhängt habe. Die Flug- 
gäste hätten BA ihre persönlichen Daten 
anvertraut, die Versäumnisse zu deren 
Schutz seien „inakzeptabel“ und hätten 
viele Betroffene verunsichert. Da die 
Panne im Juni 2018 erfolgte und damit 
zu einem Zeitpunkt vor dem Brexit, un- 
tersuchte das ICO den Fall nach eigenen 
Angaben im Namen des Europäischen 
Datenschutzausschusses (EDSA) als fe- 
derführende Aufsichtsbehörde im Rah- 
men der DSGVO. Die Sanktionen seien 
über den gängigen Kooperationsprozess 
vom EDSA genehmigt worden. Das bri- 
tische Datenschutzrecht orientiert sich 
an der DSGVO, auch wenn der britische 
Premierminister Boris Johnson dies 
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ändern will (Krempl, Datenschutzpan- 
ne: British Airways muss 22 Millionen 
Euro zahlen - statt 204, www.heise.de 
17.10.2020, Kurzlink: https://heise. 
de/-4931253). 


Schweiz 


Behörden diskutieren über 
Drohneneinsätze 


In einem Bericht an den Grossen Rat 
der Stadt setzt sich der Datenschutzbe- 
auftragte von Basel-Stadt Beat Rudin 
mit der Frage auseinander, ob öffent- 
liche Organe Drohnen verwenden dür- 
fen. Der Einsatz von Polizei-Drohnen 
bei Demonstrationen ist rechtlich nicht 
eindeutig geregelt. Die Bestimmung sei 
„technologieneutral” formuliert. Das 
Problem mit der Drohne sei, dass es sich 
dabei nicht einfach um eine Weiterent- 
wicklung von Kameras handle. Sie er- 
laube „einen speziellen, eigenen Blick 
auf das Geschehen, ohne dass notwen- 
digerweise ersichtlich ist, von wo die 
Aufnahme gemacht wird“. 

& 58 des Polizeigesetzes (PoIG) des 
Kantons Basel-Stadt regelt: „Die Kan- 
tonspolizei kann aus Gründen der Be- 
weissicherung Teilnehmerinnen oder 
Teilnehmer einer öffentlichen Veran- 
staltung aufnehmen, sofern die kon- 
krete Gefahr besteht, dass Straftaten 
begangen werden.” Rudin weist darauf 
hin, dass ohne entsprechende gesetz- 
liche Grundlage nicht verdeckt gefilmt 
werden darf: „Dass unklar ist, wer von 
wem und von wo aus mit einer Drohne 
gefilmt wird, geschieht bei dieser Tech- 
nologie sehr schnell.” Nicht nur die 
informationelle Selbstbestimmung sei 
gefährdet, sondern auch die Versamm- 
lungsfreiheit. Dieses Grundrecht müs- 
se von filmenden Beamten respektiert 
werden, zumindest so lange es keinen 
Hinweis auf einen Straftatbestand gebe. 

Der Überwachungsparagrafist gemäß 
dem Bericht eine „politisch heikle Mate- 
rie”. Es sei daher zu empfehlen, Aufnah- 
men auf „mit hoher Wahrscheinlichkeit 
strafrechtlich relevantes Verhalten” zu 
beschränken. Sobald Personen iden- 
tifizierbar sind, werden die Daten zu 
Personendaten. Bei hochaufgelösten 
Aufnahmen einer Kundgebung auch 
von oben entstehen leicht Daten zu Per- 


sonen, die in keinem strafrechtlichen 
Zusammenhang stehen. 

Diverse Polizeien und Rettungsdiens- 
te in der Schweiz erwägen, Einsätze 
durch Drohnen zu ergänzen. In Luzern 
wurden Drohnen bereits bei der Baupo- 
lizei geprüft, konnten jedoch aufgrund 
mangelnder gesetzlicher Grundlage 
nicht eingesetzt werden. Toprak Yerguz, 
Mediensprecher der Kantonspolizei Ba- 
sel-Stadt, erklärte, es seien bereits Test- 
flüge mit Drohnen gestartet worden; 
allerdings seien bisher keine operativen 
Einsätze geplant, bis eine gesetzliche 
Grundlage vorhanden sei. An einer sol- 
chen werde aber derzeit gearbeitet. 

Für Drohnen, die über 500 Gramm 
wiegen, ist es laut dem Schweizer Bun- 
desamt für Zivilluftfahrt (Bazl) verboten 
über Menschenmengen zu fliegen. Der 
Begriff Menschenmenge wird dabei als 
Personengruppe mit mindestens 24 eng 
beieinander stehenden Personen defi- 
niert. Eine solche Drohne müsse min- 
destens 100 Meter von der Gruppe ent- 
fernt sein (Kolb, Darf die Polizei Demos 
mit Drohnen überwachen? www.20min. 
ch 04.09.2020). 


Finnland 


Hacker erpresst mit 
Psycho-Aufzeichnungen 


Ein Unbekannter, der sich „ransom_ 
man” nennt, schickte an Tausende Pa- 
tienten des Psychotherapie-Unterneh- 
mens Vastaamo Erpresser-Mails. Darin 
drohte er: Entweder sie bezahlen 200 
Euro in digitaler Währung an eine ano- 
nyme Bitcoin-Adresse, oder der Hacker 
veröffentlicht die Aufzeichnungen der 
vertraulichen Gespräche im Internet, 
die diese mit ihren Therapeuten und 
Therapeutinnen geführt haben und aus 
denen ihre intimsten Gedanken zu ent- 
nehmen sind. 

Die gehackte Firma Vastaamo betreibt 
rund 20 Kliniken im ganzen Land. Dem 
finnischen IT-Sicherheitsspezialisten 
Mikko Hyppönen zufolge wurden die 
Daten bereits Ende 2018 aus einer in- 
ternen Datenbank gestohlen: „Das sind 
keine Hacker, das sind moralisch dege- 
nerierte Psychopathen. Diese Menschen 
haben kein Mitgefühl.” Der Hacker 
versuchte zunächst, das Unternehmen 
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selbst zu erpressen. 40 Bitcoin wollte 
er von Vastaamo, umgerechnet etwa 
450.000 Euro. Als Vastaamo nicht zahl- 
te, änderte der Erpresser Mitte Oktober 
2020 seine Taktik und verschickte rund 
40.000 Droh-Mails an alle Patienten. 
Erpressung im Medizinbereich macht 
immer mehr Schule. Kurz vor dem Vor- 
gang in Finnland war eine Frau in Düs- 
seldorf auf dem Weg in ein weiter ent- 
ferntes Krankenhaus gestorben, weil 
eine näher gelegene Notaufnahme mit 
Ransomware zu kämpfen hatte. Einer 
der vom finnischen Hack Betroffenen 
ist der IT-Sicherheitsexperte Sami Lai- 
ho. Er sei ein Opfer des Hacks, schrieb 
er für die ganze Welt lesbar auf Twitter: 
„Ich wollte, dass die Leute sehen, dass 
so was auch IT-Experten wie mir passie- 
ren kann.” Laiho ist schockiert, nicht so 
sehr wegen seiner eigenen Daten, son- 
dern wegen der wirklich verletzlichen 
Gruppen: „Ich war ein einziges Mal bei 
einem Therapiegespräch, wenn der In- 
halt rauskommt, was soll's. Aber da sind 
auch Daten von Kindern und von Leu- 
ten, die jahrelang zu Therapien gingen.” 
Digitale Erpresserbanden zeichnen 
von sich selbst gern das Bild von Ge- 
schäftsleuten, die eher zufällig auf der 
falschen Seite des Gesetzes stehen. Tat- 
sächlich ähneln sie oft Unternehmen, 
ihre Raubzüge sind strukturierter und 
arbeitsteiliger als die von normalen 
Einbrecherbanden. Am Anfang der Ent- 
wicklung von digitaler Erpressung stan- 
den innovative Kleinkriminelle, die Pri- 
vatrechner verschlüsselten und ein paar 
Hundert Euro Lösegeld wollten, damit 
sie die Familienfotos wieder freigaben. 
Bald übernahmen Profis das Geschäft. 
Im Zentrum der Attacken standen nun 
Firmensysteme. Unternehmen haben 
mehr finanzielle Mittel als Privatleute, 
um hohe Lösegelder zu zahlen. Gleich- 
zeitig ist ihr Leidens- und damit Zah- 
lungsdruck höher, wenn die Firma sonst 
pleitegeht. Im Jahr 2019 gingen Angrei- 
fer dazu über, Daten der Opfer nicht nur 
zu verschlüsseln, sondern auch zu steh- 
len. Auf Leak-Seiten im Darknet werden 
dann private, gerne pikante Daten von 
CEOs sowie Firmengeheimnisse hoch- 
geladen. Das erhöht den Druck, sollten 
sich die Unternehmen weigern zu zah- 
len. Auch vom Vastaamo-Hack wurden 
bereits einige Patientendaten ins Netz 
gestellt. Für den Cybercrime-Experten 
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Jeremy Kenelly von der US-Firma Fi- 
reeye kommt diese Entwicklung nicht 
überraschend: „Die Angreifer wollen 
nicht höflich sein, sie wollen Geld ver- 
dienen.” In Finnland ist nach dem 
Vastaamo-Hack die Wut groß. Gemäß 
Hyppönen ist jetzt jeder IT-Experte des 
Landes hinter den Erpressern her. Es ist 
aber unsicher, ob der Angreifer je ge- 
funden wird. Die Kombination aus ver- 
schlüsselter Internetverbindung und 
Zahlung in Bitcoin hilft den Kriminel- 
len. Solange sie keinen Fehler machen, 
ist Cyber-Erpressung ein relativ sicheres 
Geschäftsmodell. 

Was mit der betroffenen Firma Vastaa- 
mo passiert, ist indes unklar. Dass die 
Daten wohl nicht ausreichend gesichert 
waren, ist naheliegend. Am 26.10.2020 
feuerte Vastaamo seinen CEO; die Be- 
hörden beschlagnahmten Teile von des- 
sen Privatvermögen. Er hatte offenbar 
seit über einem Jahr von einem Hack 
gewusst, und zwar auch schon zu dem 
Zeitpunkt, als er das gut laufende Un- 
ternehmen für viel Geld an Investoren 
verkaufte (Muth, Willkommen in der 
Dystopie, SZ 29.10.2020; „Diese Men- 
schen haben keinerlei Mitgefühl”, www. 
sueddeutsche.de 29.10.2020). 


USA 


Rücksichtsloser digitaler 
Präsidentschaftswahl- 
kampf 


Bei der Präsidentschaftswahl 2008 
in den Vereinigten Staaten wurde Ba- 
rack Obama nicht nur wegen seiner 
Ideen für Amerika als Visionär gefei- 
ert, sondern auch für seinen Umgang 
mit dem Internet. Der Kandidat hatte 
als Teil seiner Wahlkampagne ein eige- 
nes soziales Netzwerk gestartet. Auf 
my.barackobama.com konnten sich 
Wähler und Unterstützer untereinander 
vernetzen, Veranstaltungen planen oder 
sich als Wahlhelfer registrieren. Manch 
normaler Wähler fühlte sich so mit sei- 
nen Sorgen und Nöten ernst genommen 
und angesprochen. Über diese Art von 
Wahlkampf von den Massen für die Mas- 
sen hieß es, Obamas Kampagne hole die 
Menschen zurück in den politischen Pro- 
zess. Was damals als revolutionär galt, 
wirktim Rückblick eher niederschwellig. 


Knapp acht Millionen Dollar gab Obama 
im gesamten Verlauf der Kampagne für 
Werbung im Internet aus, etwa 500.000 
davon gingen an Facebook. 

2020 investierten die Kandidaten 
innerhalb einer einzigen Woche das 
Zehnfache. Gemäß Schätzungen kos- 
tet Joe Biden und Donald Trump ihre 
Kandidatur insgesamt elf Milliarden 
Dollar. Ein immer größerer Teil wird in 
digitale Wahlwerbung investiert. In den 
letzten Wochen vor der Wahl schalteten 
die Kampagnen so viele Anzeigen, dass 
selbst im vermeintlich grenzenlosen In- 
ternet der Platz knapp wurde. 

Geändert hat sich nicht nur das Aus- 
maß der Investitionen, sondern auch 
die gesellschaftliche Wahrnehmung von 
Privatsphäre. Spätestens seit dem Skan- 
dal um das Datenanalyse-Unternehmen 
Cambridge Analytica im Jahr 2016 ist 
klar geworden, dass die ungehemmte 
Digitalisierung der politischen Kom- 
munikation nicht nur Teilhabe ermög- 
licht, sondern dieselbe Unwucht in das 
Machtgefüge zwischen Absender und 
Adressat bringt, die auch in der Pri- 
vatwirtschaft herrscht. Wahlwerbung 
ist in den USA kaum reglementiert. So 
stand den Kampagnen ein großes Arse- 
nal von moralisch fragwürdigen Werbe- 
techniken zur Verfügung, die nur noch 
bedingt mit Demokratie zu tun haben, 
seien es gezielte Werbung, Big-Data- 
Wähleranalysen oder übergriffige Apps. 


Politisches Microtargeting 


Es obliegt den Tech-Unternehmen zu 
entscheiden, was sie in ihren Domänen 
zulassen und was nicht. Google erlaubt 
beispielsweise keine zielgerichtete 
Werbung auf seinen Seiten, das soge- 
nannte Microtargeting. Twitter sorgte 
mit der Ankündigung für Aufregung, 
Wahlwerbung auf seiner Plattform 
gänzlich zu unterbinden. Facebook 
blieb als wichtigstes Schlachtfeld üb- 
rig, auch wenn das Netzwerk gerade 
unter jungen Menschen immer weiter 
an Relevanz verliert. Wie jedem ande- 
ren Werbetreibenden stellte Facebook 
auch den Präsidentschaftskandidaten 
ein komplett automatisiertes System 
zur Verfügung. Sie kommunizierten 
also nicht mehr mit Menschen, die sie 
von ihrer Botschaft überzeugen wollen, 
sondern nur noch mit der Software, die 
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Facebooks Werbemaschinerie antreibt. 
Wer aus welchen Gründen welche An- 
zeige zu sehen bekam, war kaum noch 
zu durchschauen. 

Grundlage der digitalen Kampagne 
waren die Daten der US-Bürger, die den 
IT-Unternehmen aber auch den beiden 
Parteien zur Verfügung stehen. In der 
amerikanischen Politik herrscht längst 
dieselbe Big-Data-Gläubigkeit, die auch 
in der Privatwirtschaft grassiert. Man 
muss, so die Annahme, nur genügend 
Informationen sammeln, um genau zu 
wissen, welchen Wähler man in welcher 
Situation mit welcher Botschaft an- 
sprechen sollte. Dabei wird nicht mehr 
nur nach simplen soziodemografischen 
Merkmalen wie Geschlecht, Wohnort 
oder Alterskohorte sortiert, sondern 
nach Interessen und Lebensmodellen, 
die iniihrem Detailgrad obsessiv wirken. 
Ein alleinstehender Mann, der selbst- 
ständig und Waffenbesitzer ist, be- 
kommt andere Botschaften zu sehen als 
liberale Paare in den Vorstädten. 


Parteien auf den Abwegen der Kom- 
merzunternehmen 


Die Parteien unterhalten selbst gro- 
ße Datensilos, die einen reibungslosen 
Austausch der einzelnen Kampagnen 
und Kandidaten ermöglichen. Bei „Data 
Trust“, derDatenbank der Republikaner, 
heißt es etwa, das „exklusive Datenin- 
ventar besteht aus einer tiefgreifenden 
Datensammlung von mehr als 300 Milli- 
onen Menschen, mit bis zu 2.500 Daten- 
punkten für jeden einzelnen“. Die Re- 
publikaner nutzen ihre Datenbank be- 
reits seit 2013. Die Konkurrenz von den 
Demokraten hat ihre eigene Version, 
die sogenannte „Democratic Data Ex- 
change“ erst im Laufe der Kampagne für 
den Wahlkampf 2020 gestartet, obwohl 
Hillary Clinton 2017 auch die mangeln- 
de Datenausstattung fürihre Niederlage 
mitverantwortlich gemacht hatte. 

Die persönlichen Kampagnen-Apps 
der beiden Kandidaten dienten nicht 
nur der Kommunikation und Partizipa- 
tion, sondern auch dem Datensammeln. 
In den umfangreichen Berechtigun- 
gen, die Nutzer auf ihren Smartphones 
gewähren mussten, gleichen sie eher 
Schadsoftware. Joe Bidens App namens 
„Vote Joe“ verlangt beispielsweise erst 
mal Zugriff auf die Kontakte im Telefon, 
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gleicht diese Informationen mit bun- 
desweiten Wählerdateien ab und filtert 
so Freunde und Bekannte nach politi- 
scher Orientierung und vergangenen 
Wahlentscheidungen. 

Der Fachbegriff dafür heißt „Rela- 
tional Organizing”, was für deutsche 
Verhältnisse reichlich invasiv und inak- 
zeptabel wäre, aber das ist in den USA 
noch längst nicht High-End. Alan Kni- 
towski, dessen Unternehmen Phunware 
Trumps App entwickelt hat, prahlte, der 
Unterschied zwischen der Biden-App 
und dem Trump-Produkt ähnele dem 
zwischen einem gebrauchten Pick-up- 
Truck und einem Ferrari. Trumps App 
verlangte unter anderem auch Zugriff 
auf Bluetooth-Funkverbindungen und 
GPS-Signal. Sam Woolley, Professor für 
Propagandaforschung an der Univer- 
sität von Texas, erläuterte: „Sie wollen 
wissen, ob man Sonntag in die Kirche 
geht oder auf den Schießstand oder zur 
Abtreibungsklinik. Und wenn Sie diese 
Informationen haben, können Sie das 
mit anderen Datenpunkten verbinden, 
um den Wähler mit personalisierter Wer- 
bung zu erreichen.” 

Von einem vermeintlichen Mittel zum 
politischen Engagement mutiert das 
Programm zu einem hocheffizienten 
Wählerüberwachungswerkzeug. Zum 
Einsatz kommen sämtliche Muster, mit 
denen auch die Privatwirtschaft ver- 
sucht, ihre Angestellten und Konsu- 
menten zu disziplinieren. Dazu gehört 
auch das Prinzip der Gamification: Wer 
seine Bekannten überzeugte, sich die 
Trump-App ebenfalls herunterzuladen, 
oder wer Telefondienst für die Kam- 
pagne leistete, bekam Punkte gutge- 
schrieben. Hatten sie einen gewissen 
Zwischenstand erreicht, bekamen App- 
Nutzer etwa einen Nachlass auf Fanar- 
tikel von Donald Trump mit dem „Make 
America Great Again”-Slogan. 

Neben der Datenobsession wurden 
diesmal auch Influencer, die sonst eher 
Konsumgüter auf ihren Instagram-Ka- 
nälen anpreisen, eingesetzt, um Bot- 
schaften unters Volk zu bringen. Joe 
Biden ließ sich immer wieder von wohl- 
gesinnten Promi-Nutzern interviewen, 
und Donald Trump hatte einen ganzen 
Chor an ultrakonservativen Multiplika- 
toren, die seine Tiraden nachbeteten. 
Der Einsatz von nicht gerade subtilen 
Social-Media-Persönlichkeiten ist zwar 


nicht sonderlich elegant, war aber wohl 
trotzdem ein unvermeidbarer Weg, um 
Zielgruppen anzusprechen, die mit 
Politik sonst kaum noch in Berührung 
kommen. 


Big-Data-Prognostik 


Auch die Wahlumfragen sind vom 
technischen Wandel nicht ausgenom- 
men. Donald Trumps Erfolg 2016 hat 
schließlich nicht nur den Glauben an 
den gesunden Menschenverstand im 
Allgemeinen, sondern auch den von 
Wahlforschern und Demoskopen an ihre 
Erhebungen erschüttert. Herkömm- 
lichen Befragungen macht unter an- 
derem das Phänomen der sozialen Er- 
wünschtheit zu schaffen. Das bedeutet, 
dass Menschen zwar Populisten wählen, 
dies aber nur ungern zugeben und den 
Wahlforschern aus Scham eine falsche 
Antwort geben. 

Hoffnung macht insofern Polly, ein 
KI-Programm des kanadischen Start- 
ups Advanced Symbolics. Die Software 
umgeht das Problem, indem sie eine 
ungleich größere und trotzdem reprä- 
sentative Stichprobe in den sozialen 
Medien auswertet und mit eigenen Vor- 
hersagemodellen abgleicht. Entgegen 
der Meinung sämtlicher menschlicher 
Experten sah Polly auch Trumps Sieg vor 
vier Jahren voraus. Seitdem hat das Pro- 
gramm mehr als 20 Wahlen weltweit kor- 
rekt vorhergesagt. Darunter auch eher 
unwahrscheinliche Entscheidungen wie 
etwa den Brexit oder eine Minderheits- 
regierung in Kanada. Auch 2020 war die 
KI sich ziemlich sicher: Eine Woche vor 
dem Stichtag prognostizierte sie einen 
Biden-Sieg mit 353 zu 185 Wahlleuten 
(Moorstedt, Sie haben keine Wahl, SZ 
28.10.2020, 27). 


USA 


Verily sammelt Daten bei 
hoheitlichen Corona-Tests 
und ignoriert soziale 
Realität 


Verily, eine Tochter des Alphabet- 
Konzerns, zu dem auch Google gehört, 
hat staatlich finanzierte Coronavirus- 
Tests in Kalifornien so aufgesetzt, dass 
diese nur mit Gmail-Konto und Smart- 
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phone möglich sind, und nur, wenn 
man Gesundheitsdaten preisgibt und 
deren Weitergabe an unbekannte Dritte 
abnickt. Dabei sollte das 55 Millionen 
US-Dollar teure Projekt gerade Armen 
und anderweitig Unterversorgten zu 
den Tests verhelfen. Weil dieses Ziel so 
nicht erreicht wird, haben die Countys 
San Francisco und Alameda ihre Zusam- 
menarbeit mit Verily eingestellt. Verily 
betreibt in etwa der Hälfte der 58 Coun- 
tys Kaliforniens stationäre und mobile 
Coronavirus-Teststationen sowie eine 
Online-Plattform für die Terminverein- 
barung. Partnerlabore übernehmen die 
Auswertung. Das System soll, so Kali- 
forniens Gouverneur Gavon Newsom 
im April 2020, „sicherstellen, dass wir 
wirklich Kalifornien testen, breit defi- 
niert - nicht nur Teile Kaliforniens und 
jene, die irgendwie das Privileg haben, 
bevorzugt zu werden”. 

Verily verlangt, dass jeder Testwilli- 
ge ein Gmail-Konto verwendet. Verily 
begründet das mit der „Sicherheit“. 
Außerdem muss jeder Teilnehmer chro- 
nische Krankheiten offenlegen, und 
dann zustimmen, dass die verpflichtend 
preisgegebenen Gesundheitsdaten auch 
an ungenannte Vertragspartner, Regie- 
rungsstellen und „andere Einrichtun- 
gen, die das Testprogramm unterstüt- 
zen”, weitergegeben werden dürfen. Wer 
das verweigert, bekommt über Verilys 
Plattform keinen Termin. Das schreckt 
insbesondere Angehörige der sowieso 
unterversorgten Zielgruppen ab. Sie 
bringen Behörden und Konzernen we- 
nig Vertrauen entgegen, da sie schon 
zu oft von diesen schlecht behandelt, 
ignoriert, oder gar ausgeraubt wurden. 
Verily verteilte Schutzausrüstung wie 
Handschuhe und Masken, die für Arme 
unerschwinglich sind. Auch das gab es 
nur für jene, die ihre Daten hergegeben 
hatten. Dabei liegen die COVID-Raten 
gerade bei sozial Benachteiligten um 
ein Vielfaches über dem Durchschnitt. 

Dr. Noha Aboelata, Chefin einer Klinik 
in Oakland, kommentierte das Vorge- 
hen: „Für uns ist das eine alte Geschich- 
te. Firmen, die sich nicht wirklich um 
unsere Gemeinde kümmern, stürmen 
mit Geschenken herein, aber was sie 
wieder mitnehmen, ist viel wertvoller.” 
Sie meint die Gesundheitsdaten. Abo- 
elata fand Verilys Zugang so unwürdig, 
dass sie die Zusammenarbeit mit Verily 
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nach nur sechs Tagen wieder eingestellt 
hat. Dazu trug auch bei, dass Verily die 
Teststation als Drive-In bewarb, obwohl 
sie, im Einklang mit den Bedürfnissen 
der lokalen Bevölkerung, für Fußgän- 
ger eingerichtet war. Die falsche Be- 
schreibung lockte Wohlhabendere aus 
anderen Gegenden an, die dann wütend 
waren, weil sie ihr Vehikel parken und 
ein bisschen zu Fuß gehen mussten -in 
einem Armenviertel, wo sie, so Aboela- 
ta, wahrscheinlich noch nie waren und 
offenbar nicht sein wollten. Dies pro- 
vozierte Konflikte so arg und geifernd, 
dass mehrere Menschen rausgeschmis- 
sen werden mussten. 

Überraschend unflexibel erwies sich 
Verilys Terminvergabe. Frühestens am 
nächsten Tag kann man sich testen las- 
sen. Das ist besonders frustrierend für 
Personen, die mangels eigenem Inter- 
netzugang zur Teststelle kommen, um 
sich dort online zu registrieren. Selbst 
wenn sich die Krankenschwestern gera- 
de langweilen, müssen die Patienten an 
einem anderen Tag zu einer bestimmten 
Zeit wiederkommen, was für die Ziel- 
gruppe eine hohe Hürde ist. Im Stadt- 
zentrum San Franciscos war zudem ein 
Smartphone Pflicht für die Terminver- 
einbarung vor Ort. Wer keines hatte, 
wurde weggeschickt - und kam damit 
auch um den versprochenen Einkaufs- 
gutschein über zehn Dollar herum. Dass 
Leute mit Smartphone den Termin nicht 
vor Ort vereinbaren müssten, sondern 
dafür ihr Smartphone nutzen könnten, 
spielte keine Rolle. 

Viele sozial Benachteiligte haben 
durchaus ein Gmail-Konto und würden es 
auch verwenden. Doch ein Gutteilhat das 
Passwort vergessen, weil Menschen ohne 
Internet selten das Passwort brauchen. 
Google setzt für die Passwortrücksetzung 
voraus, dass der Kontoinhaber entweder 
das Passwort eines anderen, dereinst 
hinterlegten E-Mail-Kontos kennt, oder 
dass er noch dieselbe Telefonnummer wie 
bei Einrichtung des Gmail-Kontos hat. 
Auch das ist eine weltfremde Forderung 
für die Zielgruppe. 

Zu allem Überdruss verlangt Verily, 
dass Testwillige alle Angaben selbst 
machen. Hilfe Dritter ist unzulässig. 
Gleichzeitig stellt Verily die Anmel- 
dung ausschließlich auf Englisch und 
Spanisch zur Verfügung. Verily geht 
also davon aus, dass alle Kaliforni- 


er ausreichend lesen und schreiben 
können, um Fragen nach Krankheiten 
schriftlich beantworten und Daten- 
schutzbestimmungen verstehen und 
akzeptieren zu können. Dabei ist be- 
kannt, dass die Hälfte aller US-Ame- 
rikaner nicht in der Lage ist, für die 
achte Schulstufe vorgesehene Bücher 
zu lesen. Und unter allen US-Staaten 
hat Kalifornien mit 23,1% die höchs- 
te Analphabetenrate, wobei der Anteil 
unter sozial Benachteiligten noch hö- 
her ist. Auch das erklärt, warum eine 
Terminvergabe für einen anderen Tag 
eine Hürde darstellt: Der Testwillige 
muss Datum und Uhrzeit korrekt able- 
sen und sich einprägen. 

Von Kundenorientierung istauch nach 
erfolgtem Test wenig zu sehen. Nur bei 
positivem Testergebnis versucht ein Call- 
center, den Virusträger anzurufen. Wer 
nicht online Nachschau halten kann, 
bleibt im Unklaren, ob er COVID-negativ 
ist, das Testergebnis noch nicht vorliegt, 
oder ob ihn das Callcenter bloß nicht er- 
reicht hat. In Teilen Kaliforniens ist Veri- 
lys Plattform der einzige Weg, zu einem 
COVID-Test zu kommen. In mehreren 
anderen US-Staaten arbeitet Verily mit 
der Apothekenkette Rite Aid zusammen. 
Für die Abwicklung des Rite-Aid-Testpro- 
gramms zahlt das US-Gesundheitsminis- 
terium 122,6 Millionen US-Dollar (Soko- 
lov, COVID-Tests: Google-Schwester Veri- 
ly ignoriert Lebensrealität Armer, www. 
heise.de 29.10.2020, Kurzlink: https:// 
heise.de/-4941959). 


USA 


Verfassungsrechtliche 
Zweifel an unbestimmter 
Funkzellenabfrage 


In den USA haben Richter eines Bun- 
desgerichts den Antrag der Ermitt- 
lungsbehörden zur Genehmigung einer 
Funkzellenabfrage mehrfach abgewie- 
sen und dabei verfassungsrechtliche 
Bedenken angeführt. Die Entscheidun- 
gen der Richter sind bemerkenswert, 
weil sie das in den USA übliche Ver- 
fahren für Funkzellenabfragen in Frage 
stellen. In dem Ermittlungsverfahren 
wegen Arzneimitteldiebstahl hatten 
Behörden in Chicago eine gerichtliche 
Anordnung beantragt, um Google zur 
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Herausgabe von Standort- und Nut- 
zerdaten zu zwingen. Die Behörden 
wollten Angaben über Identifikati- 
onsnummern und Standortdaten aller 
Smartphones, die sich zu verschiede- 
nen Terminen an bestimmten Orten 
aufgehalten hatten. 

Für solche Datenherausgaben hat 
sichin den USA ein dreistufiges Verfah- 
ren etabliert. Im ersten Schritt sollte 
Google anonymisierte Daten der Geräte 
übermitteln, die zur fraglichen Zeit am 
fraglichen Ort waren. Aus dieser Liste 
wählen die Behörden dann bestimmte 
Geräte aus, über die sie weitere Infor- 
mationen erhalten möchten. Für eine 
weitere Auslese des Gerätepools wer- 
den dann auch identifizierende Infor- 
mationen über die Account-Inhaber 
angefordert. 

Den Richtern in dem Chicagoer Ver- 
fahren war das aber zu unspezifisch. 
Sie sind der Ansicht, dass der Antrag 
angesichts der Zielregion im dicht be- 
siedelten Stadtgebiet zu breit gefasst 
ist. Damit gerate erin Konflikt mit dem 


vierten Verfassungszusatz, der eine ge- 
naue Eingrenzung für Überwachungs- 
und Durchsuchungsbefehle verlangt. 
Es gebe zwar hinreichenden Grund zu 
der Annahme, dass ein Mobiltelefon- 
nutzer innerhalb der eingegrenzten 
Gebiete ein Verbrechen begangen ha- 
ben könnte, räumte Bundesrichter 
David Weisman in einer ersten Ableh- 
nung des Antrags ein. Doch sei nicht 
ausreichend begründet worden, warum 
alle anderen betroffenen Geräte eben- 
falls mit dem Verbrechen in Verbindung 
stünden. Der Zielbereich des Antrags 
sei nicht „eng zugeschnitten”, wenn 
in einer belebten Stadt der Großteil 
der Erfassten „überhaupt nichts mit 
den untersuchten Straftaten zu tun“ 
habe. Weisman kritisiert zudem, dass 
„die undisziplinierte und übertriebene 
Anwendung” der Funkzellenabfragen 
die „Privatsphäre und das Vertrauen 
in Strafverfolgungsbeamte gefährdet”. 
Laut Google war die Zahl der Abfra- 
gen im Jahr 2018 gegenüber 2017 um 
1.500% gestiegen. 


Nach der Abweisung ihres Antrags 
hatten die Behörden einen geänderten 
Antrag gestellt, in dem die Zielregion 
leicht verkleinert wurde. Ein zweiter 
Richter, Gabriel Fuentes, lehnte auch 
dieses Ersuchen ab. Die Ermittler ver- 
suchten es ein drittes Mal und schlugen 
vor, auf den dritten Schritt der Identifi- 
kation verdächtiger Konten zu verzich- 
ten. Fuentes ging darauf aber nicht ein, 
da die Verwaltung zugab, dass sie eine 
separate Anordnung verwenden könn- 
te, um an die detaillierten Nutzerinfor- 
mationen zu gelangen. 

Fuentes verweist zudem auf eine Ent- 
scheidung des Supreme Courts, wonach 
ein Durchsuchungsbefehl für eine Bar 
und einen dort Angestellten der Polizei 
nicht die Befugnis gab, jede Person zu 
durchsuchen, die sich zufällig in der 
Örtlichkeit aufhielt. Diese Ansage lasse 
sich analog auf das aktuelle Verfahren 
beziehen (Krempl, Funkzellenabfrage: 
US-Bundesrichter stellen die Verfas- 
sungsfrage, www.heise.de 01.09.2020, 
Kurzlink: https://heise.de/-4883539). 


Rechtsprechung | 


EuGH 


DSGVO gilt im Parlaments- 
Petitionsausschuss 


Gemäß einem Urteil des Europäischen 
Gerichtshofs (EuGH) vom 09.07.2020 
haben Bürger, die beim Petitionsaus- 
schuss eines Landesparlaments eine 
Petition einreichen, ein Recht auf Aus- 
kunft personenbezogener Daten (Az. 
C-272/18). Die Petitionsausschüsse von 
Bundesländern fallen demgemäß unter 
die Regeln der EU-Datenschutz-Grund- 
verordnung (DSGVO). Hintergrund ist 
ein Fall in Hessen, bei dem ein Bürger 
eine Petition eingereicht hatte und et- 
was über seine Daten wissen wollte. Der 
Landtag hatte dies mit der Begründung 
abgelehnt, das Parlament unterliege 
der DSGVO nicht (DSGVO gilt in Petiti- 
onsausschusss,  www.hessenschau.de 
09.07.2020). 
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EuGH 


TK-Vorratsdatenspeiche- 
rung nicht völlig ausge- 
schlossen 


Der Europäische Gerichtshof (EuGH) 
entschied mit Urteilen vom 06.10.2020, 
dass eine flächendeckende und pau- 
schale Speicherung von Internet- und 
Telefon-Verbindungsdaten nicht zuläs- 
sig ist (C-623/17, C-511/18, C-512/18, 
C-520/18). Ausnahmen bei der Über- 
mittlung und Speicherung von Verbin- 
dungsdaten seien aber möglich zur Be- 
kämpfung schwerer Kriminalität oder 
im Fall einer Bedrohung der nationalen 
Sicherheit. Davon sind alle Nutzer der 
Dienste betroffen, auch wenn diese in 
keiner Hinsicht verdächtig sind, solche 
Verbrechen begangen zu haben oder zu 
begehen. 


Der Gerichtshof hält in seinen Urtei- 
len explizit fest, dass das europäische 
Recht, insbesondere die in diesem Fall 
gültige Richtlinie zur Privatsphäre in der 
elektronischen Kommunikation, natio- 
nale Gesetze ausschließe, die anlasslo- 
se pauschale Vorratsdatenspeicherung, 
pauschale Datenübertragung an Straf- 
verfolger oder die Einschränkung der Pri- 
vatsphären-Richtlinie zum Inhalt haben. 

Die Richter bestätigten zwar, dass die 
flächendeckende und pauschale Spei- 
cherung der Verbindungsdaten nicht 
zulässig ist, ermöglichten aber Aus- 
nahmen für die Bekämpfung schwerer 
Kriminalität und die konkrete Bedro- 
hung der nationalen Sicherheit. Auch 
Standortdaten dürfen in diesen Fällen 
für Ermittler gespeichert werden. Sie 
verraten, wo sich eine Person wann auf- 
gehalten hat. 

Ausnahmen für das strikte Verbot der 
Speicherung und Übertragung von Ver- 
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bindungsdaten an Strafverfolger sind 
nach den Urteilen möglich, wenn EU- 
Mitgliedsstaaten sich etwa einer ernsten 
Bedrohung der nationalen Sicherheit 
gegenübersähen, die allgemein, aktuell 
und vorhersehbar sei. Das könnte zum 
Beispiel nach einem Terroranschlag der 
Fall sein. Allerdings dürften die Daten 
nicht länger als nötig gespeichert wer- 
den. Entsprechende Speicherungs- und 
Übermittlungsmaßnahmen müssen 
strikt auf den Anlass und seine Dau- 
er begrenzt werden; sie müssen zudem 
durch ein Gericht oder eine unabhän- 
gige Institution jederzeit verbindlich 
überprüft werden können. Dabei müsste 
auch geprüft werden, ob tatsächliche 
eine so ernste Bedrohung vorliegt. Ent- 
sprechendes gilt auch für Maßnahmen 
gegen schwere Straftaten und bei Bedro- 
hungen für die öffentliche Sicherheit. 
Generell hält der Gerichtshof fest, dass 
die Speicherung und Übermittlung von 
Verbindungsdaten immer auf den Anlass 
begrenzt sein muss und nur so lange zu- 
lässig ist, solange dieser Anlass auch ge- 
geben ist. Der EuGH erlaubt aber, „eine 
allgemeine und unterschiedslose Vor- 
ratsspeicherung von IP-Adressen vorzu- 
nehmen“. Die Internetkennungen ließen 
sich dann einfach über die Bestandsda- 
ten der Provider einer konkreten Person 
zuordnen. Informationen, die sich „auf 
die zivile Identität der Nutzer” beziehen, 
dürften sogar ohne bestimmte Frist pro- 
tokolliert werden. 

Nationale Gerichte aus Frankreich, 
Belgien und Großbritannien hatten den 
EuGH als höchstes europäisches Gericht 
mit Sitz in Luxemburg um eine Einschät- 
zung zu der Frage gebeten, ob einzelne 
EU-Staaten den Betreibern elektroni- 
scher Kommunikationsdienste hierzu 
allgemeine Pflichten auferlegen dürfen. 


Diskussion in Europa 


Der EuGH hat in dieser Runde Verfah- 
ren aus Frankreich, Belgien und Großbri- 
tannien behandelt. Weitere Klagen, die 
das aktuelle deutsche, derzeit ausgesetz- 
te Gesetz zur Vorratsdatenspeicherung 
betreffen, sind noch anhängig. Christian 
Mihr, Geschäftsführer von Reporter ohne 
Grenzen in Deutschland, zeigte sich zu- 
versichtlich, dass das Gericht auch hier 
klarstellen werde, dass eine solche „flä- 
chendeckende Vorratsdatenspeicherung 
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nicht mit europäischem Recht vereinbar 
ist”. Es sei höchste Zeit anzuerkennen, 
dass die deutschen Regeln gegen Grund- 
rechte verstießen und den Quellenschutz 
infrage stellten. In Deutschland liegt die 
Vorratsdatenspeicherung auf Eis. Aller- 
dings können aus den bisherigen Ur- 
teilen des EuGH sowie entsprechenden 
Entscheidungen des deutschen Bundes- 
verfassungsgerichts (BVerfG) Schlüsse 
für die rechtliche Bewertung der beste- 
henden ausgesetzten Gesetze gezogen 
werden. Im aktuellen Fall erfolgten die 
EuGH-Vorlagen durch den belgischen 
Verfassungsgerichtshof, den französi- 
schen Staatsrat und das britische Gericht 
für Ermittlungsbefugnisse. Diese wollten 
u.a. wissen, ob die europäische Daten- 
schutzrichtlinie für elektronische Kom- 
munikation zum Beispiel auf Maßnah- 
men zur Terrorabwehr angewandt wer- 
den kann. Der Generalanwalt des EuGH, 
Manuel Campos Sänchez-Bordona, hatte 
im Januar 2020 betont, dass aus seiner 
Sicht auch dabei rechtsstaatliche Prinzi- 
pien gelten müssten. 

Der EuGH hatte zuvor im Jahr 2016 
entschieden, dass eine unterschieds- 
lose Speicherung von Telefon- und In- 
ternetverbindungsdaten mit EU-Recht 
nicht vereinbar sei. Auch andere frühere 
Urteile, die eine generelle Speicherver- 
pflichtung kritisch bewerteten, stießen 
bei Politikern in EU-Ländern auf Skep- 
sis. Sie befürchten, dass Sicherheitsbe- 
hörden damit ein wichtiges Mittel zum 
Schutz der nationalen Sicherheit aus 
der Hand geben. 

Die EU-Staaten hatten die EU-Kom- 
mission im Jahr 2019 damit beauftragt, 
trotz des EuGH-Urteils von 2016 die 
Möglichkeiten einer Vorratsdatenspei- 
cherung auszuloten. Die Brüsseler Be- 
hörde soll nach einem Beschluss der 
Justizminister eine Studie für mögliche 
Lösungen und etwaige Gesetze vorle- 
gen. Zudem will Deutschland, das in der 
zweiten Jahreshälfte 2020 die EU-Rats- 
präsidentschaft innehat, im Ministerrat 
eine neue Arbeitsgruppe einsetzen. Sie 
soll sich mit dem verdachtsunabhängi- 
gen Protokollieren von Nutzerspuren 
befassen. 

Die Vorratsdatenspeicherung von Te- 
lekommunikationsdaten ist hoch um- 
stritten: Während Sicherheitspolitiker 
in ihr ein zentrales Instrumentim Kampf 
gegen organisierte Kriminalität, Kin- 


derpornografie und Terrorismus sehen, 
halten Bürgerrechtler und Verbraucher- 
schützer sie für riskant und überzogen. 
Die Unternehmen sind dabei gesetzlich 
verpflichtet, Telefon- und Internetver- 
bindungsdaten der Nutzer zu sichern, 
so dass Ermittler später bei Bedarf dar- 
auf zugreifen können. 

Gegner der Vorratsdatenspeicherung 
nehmen hingegen an, dass manche 
Schwerkriminelle und Terroristen oh- 
nehin für sie passende Dienste oder Ver- 
schlüsselungstechniken einsetzen, die 
nicht mit Hilfe der Vorratsdatenspeiche- 
rung erfasst werden - am Ende würden 
dann vor allem die Daten unbescholte- 
ner Bürger erfasst. 


Diskussion in Deutschland 


In Deutschland wurden immer wieder 
Anläufe gemacht die Vorratsdatenspei- 
cherung einzuführen, die dann ganz 
oder in Teilen vom BVerfG und/oder 
vom EuGH verworfen wurden. Die aktu- 
ell für Deutschland geltende Regelung 
ist seit einem Urteil von 2017 ausge- 
setzt. Dazu läuft ein eigenes Verfahren 
vor dem EuGH; wann ein Urteil fällt, ist 
unklar. Laut dem Gesetz sollten eigent- 
lich Standortdaten von Handynutzern 
für vier Wochen gespeichert werden, an- 
gerufene Nummern, Uhrzeit und Dauer 
von Anrufen sowie Sende- und Emp- 
fangszeiten von SMS für zehn Wochen. 

Zuletzt forderten die Justizminister 
von CDU und CSU, die Vorratsdatenspei- 
cherung müsse so schnell wie möglich 
„wiederbelebt” werden. „Der Kampf 
gegen Kinderpornografie im Internet 
zeigt: Fehlende Verkehrsdatenspeiche- 
rung verhindert, dass wir Straftaten 
aufklären und noch laufenden Kindes- 
missbrauch stoppen können.” Auch 
Bundesjustizministerin Christine Lam- 
brecht (SPD) forderte, dass im Kampf 
gegen Kindesmissbrauch und pornogra- 
fische Darstellungen von Gewalt gegen 
Kinder dieses Mittel genutzt werden 
kann: „Wir werden den Ermittlern auch 
die Möglichkeit an die Hand geben, die 
Vorratsdatenspeicherung zu nutzen, 
soweit dies mit deutschem und europäi- 
schem Recht vereinbar ist.” 

Gegen dieses Argument, das in der 
Diskussion um die Vorratsdatenspei- 
cherung immer wieder zu hören ist, 
wendeten etwa Baden-Württemberg, 
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Bremen und Rheinland-Pfalz gegen eine 
Initiative Mecklenburg-Vorpommerns 
im Bundesrat ein, die Aufklärungsquote 
bei der Verbreitung von Darstellungen 
sexuellen Kindesmissbrauchs habe laut 
der Polizeilichen Kriminalstatistik bis 
2019 auf 93,4 Prozent gesteigert wer- 
den können. Dies zeige, dass auch ohne 
das umkämpfte Instrument „Erfolge bei 
der Verfolgung von Kinderpornografie 
erzielt” würden. Der Fokus darauf lenke 
gar von „zielführenderen Möglichkeiten 
ab, Kinder besser vor sexualisierter Ge- 
walt zu schützen”. Auch die jüngsten 
Erfolge der Strafverfolger in Nordrhein- 
Westfalen gegen Kinderporno-Ringe 
wurden ohne das Mittel der Vorratsda- 
tenspeicherung erzielt 


Reaktionen 


Die vier miteinander verbundenen 
„Nein, aber“-Urteile des EuGH zur Vor- 
ratsspeicherung lösten bei Bürger- 
rechtlern und Wächtern über die Privat- 
sphäre der Bürger keinen ungetrübten 
Jubel aus. Der Hamburgische Daten- 
schutzbeauftragte Johannes Caspar 
etwa erwartet, dass der Richterspruch 
die Debatte über das Protokollieren von 
Nutzerspuren neu entfache: „Der EuGH 
hat den ‚alten Zombie’ wieder ins Leben 
zurückgeholt. Nach jahrelangen Fanfa- 
renstößen für den Datenschutz und die 
Privatsphäre signalisieren die heutigen 
Urteile eine zumindest leichte Wen- 
dung in der Rechtsprechung des höchs- 
ten europäischen Gerichts.” Dieses 
habe sich damit auch den nationalen 
Diskussionen über die Sicherheit stär- 
ker angenähert und seine Gangart aus 
dem Jahr 2016 gelockert. Er hofft, dass 
die Gesetzgeber die eröffneten neuen 
Spielräume allenfalls „mit Augenmaß 
und Zurückhaltung” nutzten. 

Patrick Breyer, EU-Abgeordneter der 
Piratenpartei, erklärte, die Richter hät- 
ten hier „unter dem massiven Druck der 
Regierungen” und Ermittlungsbehörden 
„unseren Schutz vor verdachtsloser Kom- 
munikationserfassung” aufgegeben: 
„Die zugelassene IP-Vorratsdatenspei- 
cherung ermöglicht es, die private Inter- 
netnutzung von Normalbürgern auf Mo- 
nate hinaus zu durchleuchten” und diese 
gläsern zu machen. Breyer warnte daher 
davor die Urteile als „Handlungsanwei- 
sung” heranzuziehen. Darin beschrieben 
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würden „nur die äußersten Grenzen des 
rechtlich Machbaren”. 

Der emeritierte Rechtsprofessor Dou- 
we Korff verwies darauf, dass laut den 
Entscheidungen Geheimdienste der 
Mitgliedsstaaten nicht einheitlichen 
EU-Vorgaben, sondern allein der na- 
tionalen Gesetzgebung unterworfen 
seien. Für sie sei so der Europäische 
Gerichtshof für Menschenrechte zu- 
ständig, demzufolge Maßnahmen wie 
die Vorratsdatenspeicherung sowie der 
Zugriff auf Internetknoten im nationa- 
len Ermessen lägen. 

Ein breites Bündnis von über 40 zi- 
vilgesellschaftlichen Organisationen 
und Wirtschaftsverbänden aus 16 Län- 
dern hat die EU-Kommission zugleich 
aufgefordert, anlasslose Telekommu- 
nikationsüberwachung im Lichte der 
Urteile zu verbieten (in diesem Heft, 
siehe oben S. 236). Friedemann Ebelt 
von Digitalcourage betonte: „Der Stan- 
dard in Demokratien muss lauten: kei- 
ne Vorratsdatenspeicherung.” 

Die Verlegerverbände VDZ und BDZV 
sowie der Deutsche Journalisten-Ver- 
band (DJV) sehen mit der Weisung aus 
Luxemburg „die Bürgerrechte ganz 
grundsätzlich” geschützt. Die für mög- 
lich erklärten Ausnahmebestimmungen 
dürften „nicht zulasten der Presse- und 
Rundfunkfreiheit gehen”. Konstantin 
von Notz und Tabea Rößner aus der Grü- 
nen-Bundestagsfraktion erklärten mit 
den Urteilen die „pauschale anlasslose 
Vorratsdatenspeicherung” für „mause- 
tot”. Sie seien „eine deutliche Absage” 
an alle, die sich in den vergangenen 
Wochen erneut für das Instrument 
ausgesprochen hätten. Die britische 
Bürgerrechtsorganisation Privacy In- 
ternational, die zu den Klägern gehört, 
sieht den Grundsatz der Rechtsstaat- 
lichkeit gestärkt. Demokratien müss- 
ten den Überwachungsbefugnissen 
von Sicherheitsbehörden enge Grenzen 
setzen (Kuri, Europäischer Gerichts- 
hof: Vorratsdatenspeicherung nein, 
gezielte Ausnahmen ja, www.heise.de 
06.10.2020, Kurzlink: https://heise. 
de/-4921508; Überwachung: EuGH er- 
laubt Vorratsdatenspeicherung - aber 
nur für den Notfall, www.sueddeutsche. 
de 06.10.2020; Krempl, EuGH-Urteile: 
Der „alte Zombie” Vorratsdatenspeiche- 
rung lebt, www.heise.de 06.10.2020, 
Kurzlink: https://heise.de/-4922543). 


VerfGH Saarland 


Gästelistenerhebung ohne 
gesetzliche Grundlage 


Der Verfassungsgerichtshof des Saar- 
landes (VerfGH) hat mit Beschluss vom 
28.08.2020 entschieden, dass eine Ver- 
ordnung des Saarlandes teilweise gegen 
die Landesverfassung verstößt, wonach 
zur Corona-Bekämpfung Gastronomie, 
Friseure und andere Läden die Kontakt- 
daten ihrer Kunden sammeln müssen 
(Az. Lv 15/20). 

Die Pflicht zur Erfassung von Gästelis- 
ten zur Kontaktnachverfolgung ist ein 
erheblicher Eingriff in das Grundrecht 
auf Datenschutz. Diese Pflicht dient der 
Nachverfolgung und Unterbrechung 
von Infektionsketten des Coronavirus. 
Im Saarland ist sie in der „Verordnung 
zur Bekämpfung der Corona-Pandemie” 
(CP-VO) geregelt. Ein Rechtsanwalt hatte 
Verfassungsbeschwerde eingelegt, weil 
sein Eilantrag beim Verwaltungsgericht 
gegen die saarländische CP-VO erfolg- 
los geblieben war. Er wehrte sich unter 
anderem gegen die Verpflichtung zum 
Tragen einer Maske in verschiedenen Si- 
tuationen und die Pflicht verschiedener 
Einrichtungen zur Führung von Gästelis- 
ten mit Kundenkotaktdaten. 

Im Saarland regelt die CP-VO die 
Kontaktnachverfolgung. Darin werden 
Verantwortliche unter anderem von 
Gastronomie, kulturellen Einrichtun- 
gen, Gottesdiensten und Bestattungen, 
Sport- und sonstigen Veranstaltungen 
verpflichtet, die Kontaktdaten ihrer 
Kunden zu erfassen und die Informati- 
onen einen Monat lang aufzubewahren. 
Abgefragt werden müssen Vor- und Fa- 
milienname, Wohnort, Erreichbarkeit 
sowie die Ankunftszeit. Auf Anfrage der 
Gesundheitsbehörde müssen die Betrie- 
be die Daten herausgeben. 

Der VerfGH entschied, dass die Bürger 
die Maskenpflicht hinnehmen müssen. 
Die Richter wiesen darauf hin, dass se- 
riöse Wissenschaftler sich weitgehend 
einig darüber sind, dass eine Mund- 
Nasen-Bedeckung einen, wenn auch 
kleinen, aber wirkungsvollen Beitrag 
zur Eindämmung der Pandemie leisten 
kann. Das sei ein legitimer Zweck. Zum 
Preis einer bloßen Unannehmlichkeit 
leiste sie einen Beitrag zur Abwehr von 
Gefahren für Leben, Gesundheit und 
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Freiheit aller sowie der Funktionsweise 
staatlicher und gesellschaftlicher Ein- 
richtungen. 

Wegen des Eingriffs in das „Grund- 
recht auf Datenschutz“ nach Artikel 2 
Absatz 2 der Saarländischen Verfassung 
sieht der VerfGH in der Kontaktnachver- 
folgung einen erheblichen Eingriff, da 
Bürger durch die Erfassung, Speiche- 
rung und Weitergabe von Adress- und 
Kontaktdaten mittelbar davon abgehal- 
ten werden können, bestimmte Veran- 
staltungen oder Orte zu besuchen. Für 
einen derart gravierenden Eingriff be- 
darf es gemäß dem VerfGH eines Geset- 
zes. Eine Regierungsverordnung genügt 
demnach nicht. Da es nicht um eine 
kurzfristige Notsituation gehe, sondern 
um eine Regelung, die aller Voraussicht 
nach länger gelten solle, sei ein parla- 
mentarisches Gesetz erforderlich. 

Hierbei handele es sich auch kei- 
neswegs um eine „verzichtbare bloße 
Formalität“. Anders als eine Regie- 
rungsverordnung gewährleiste ein 
parlamentarisches Gesetz die Debatte 
von Für und Wider vor dem Forum der 
Öffentlichkeit. Ohnehin sei bei länger 
dauernden grundrechtlichen Belastun- 
gen der parlamentarische Gesetzgeber 
dafür zuständig, Inhalt und Grenzen der 
Regelung zu bestimmen. 

Weiter rügte das Gericht, dass die 
Verordnung keine Vorgaben zur Aus- 
gestaltung der Kontaktdatenerhebung 
mache. Das führe besonders im Bereich 
der Gastronomie vielfach dazu, dass 
nachfolgende Gäste wegen der häufig 
gebräuchlichen „Ringbucherfassung” 
erkennen, wer vor ihnen das Unterneh- 
men besucht hat. 

Nach Auffassung des Gerichts lässt 
sich die bei der Kontaktnachverfolgung 
anfallende Datenverarbeitung nicht auf 
die Rechtsgrundlage der Einwilligung 
nach der Datenschutz-Grundverordnung 
(DSGVO) stützen. Die Freiwilligkeit, eine 
elementare Voraussetzung der Einwilli- 
gung, sei hier nicht gegeben, wenn die 
Verweigerung der Zustimmung nur für 
den Preis des weitgehenden Verzichts an 
der Teilnahme am sozialen Leben mög- 
lich sei. Die DSGVO biete auch darüber 
hinausgehend keine Rechtsgrundlage, 
sondern nur eine Begrenzung für die 
Verarbeitung personenbezogener Daten. 

Daher kommt der VerfGH zu dem 
Schluss, dass die Kontaktnachverfol- 
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gung ohne gesetzliche Grundlage ver- 
fassungswidrig ist. Wegen des „unein- 
geschränkt legitimen Ziels” der Kon- 
taktnachverfolgung und weil die bun- 
desweite Rechtsprechung das Problem 
der fehlenden gesetzlichen Ermächti- 
gungsgrundlage bisher nicht entschie- 
den hat, beschränkte sich das Gericht 
darauf, eine „Unvereinbarkeitserklä- 
rung“ auszusprechen und gab dem saar- 
ländischen Landtag bis zum 30.11.2020 
Zeit, ein entsprechendes Gesetz zu er- 
lassen. Bis dahin sei es vorübergehend 
hinnehmbar, dass eine verfassungswid- 
rige Norm in Kraft bleibt (Saarland: Gäs- 
telisten sind verfassungswidrig, www. 
handwerksblatt.de September 2020). 


BVerwG 


Keine Einwände gegen 
„section Control” 


Das Bundesverwaltungsgericht 
(BVerwG) hat den Antrag eines Klägers 
auf Zulassung der Revision gegen das 
Urteil des Oberverwaltungsgerichts Lü- 
neburg zurückgewiesen, wonach das 
bundesweit erste Streckenradar zur 
Geschwindigkeitskontrolle südlich von 
Hannover rechtmäßig eingesetzt wird. 
Damit ist der seit Anfang 2019 laufende 
Rechtsstreit über Section Control end- 
gültig rechtskräftig abgeschlossen. Für 
Landesinnenminister Boris Pistorius 
(SPD) ist das Streckenradar „ein beson- 
deres Anliegen“: „Der Einsatz von Sec- 
tion Control kann einen wesentlichen 
Beitrag für mehr Verkehrssicherheit 
leisten.” 

Dafür werden an der Bundesstraße 6 
bei Laatzen in der Region Hannover Fahr- 
zeuge am Beginn und am Ende eines2 km 
langen Messfelds durch eine mit einem 
Zeitstempel versehene Heckfotoaufnah- 
me (Spurkamera-Foto) erfasst und kurz- 
fristig pseudonymisiert gespeichert. Aus 
der zwischen den Zeitstempeln liegen- 
den Zeitdifferenz und der Länge des ver- 
messenen Streckenabschnitts wird der 
Wert der Durchschnittsgeschwindigkeit 
berechnet. Werktags sind dort täglich 
mehr als 15.500 Fahrzeuge unterwegs. 
Ähnliche Anlagen gibt es beispielsweise 
in Österreich. 

Vorteilhaft an dieser Technik sei nach 
Meinung des Landesinnenministeri- 


ums, dass sie für die Verkehrsteilneh- 
menden gerechter sei, da jede Fahr- 
zeuggeschwindigkeit streckenbezogen 
gemessen und nur die durchschnittliche 
Überschreitung verfolgt werde. Dadurch 
werde gegenüber den punktuellen Blit- 
zern mehr Akzeptanz erreicht. Auch 
werde der Verkehrsfluss harmonisiert 
und sicherer. 

Wie bei jeder neuen Technik sei auch 
beim Start von Section Control klar ge- 
wesen, dass es einige Hürden geben 
könne, sagte Pistorius: „Gerade vor 
diesem Hintergrund bin ich froh, dass 
wir diesen Schritt als erstes Bundes- 
land seinerzeit gewagt haben.” Damit 
könnten auch andere Bundesländer die 
Technik auf geeigneten Strecken ein- 
setzen. Nach Einschätzung des ADAC 
gibt es andernorts aber bislang keine 
konkreten Pläne dafür. Die Anlage sei 
teurer und aufwendiger als herkömmli- 
che Systeme, daher sei eine Evaluation 
wünschenswert. Zum Startim November 
2019 hatte das Ministerium versichert, 
wesentliches Ziel der Pilotanlage bleibe 
„eine umfängliche und wissenschaftli- 
che Beurteilung zur Wirkung der Anlage 
auf die Verkehrssicherheit.” 

Das System war im vergangenen Jahr 
zeitweise abgeschaltet worden. Ein An- 
walt hatte datenschutzrechtliche Be- 
denken angemeldet. Die Anlage ging 
wieder in Betrieb, als das niedersächsi- 
sche Oberverwaltungsgericht die Klage 
mit Urteil vom 13.11.2019 abwies (12 
LC 79/19; Vorinstanz VG Hannover U.v. 
12.03.2019 - 7 A849/19, DANA 2/2019, 
110). Hannovers Polizeipräsident Volker 
Kluwe meinte, nach der Entscheidung 
des BVerwG sei höchstrichterlich be- 
stätigt, dass es sich beim Streckenradar 
um ein „modernes und rechtskonformes 
Mittel der Geschwindigkeitsüberwa- 
chung” handelt. 

Angaben des Innenministeriums zu- 
folge wurden von Mitte November 2019 
bis Ende Juni 2020 insgesamt 1065 Ge- 
schwindigkeitsverstöße von Section 
Control angezeigt. In 194 Fällen wurden 
Bußgelder verhängt, in 152 Fällen ka- 
men Punkte für die Fahrer dazu - 17 von 
ihnen bekamen zusätzlich ein einmo- 
natiges Fahrverbot. Ein Mann fuhr statt 
der erlaubten 100 Kilometer pro Stunde 
durchschnittlich 160 (Wilkens, Section 
Control: Bundesverwaltungsgericht hat 
keine Einwände gegen Streckenradar, 
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www.heise.de 28.09.2020, Kurzlink: 


https://heise.de/-4914143). 


BGH 


Erben haben vollen Zugriff 
auf digitalen Nachlass 


Der III. Zivilsenat des Bundesge- 
richtshofs (BGH) hat mit Beschluss 
vom 27.08.2020 entschieden, dass die 
Betreiberin eines sozialen Netzwerks, 
die verurteilt worden ist den Erben ei- 
ner Netzwerk-Teilnehmerin Zugang zu 
deren vollständigen Benutzerkonto zu 
gewähren, den Erben die Möglichkeit 
einräumen muss vom Konto und dessen 
Inhalt auf dieselbe Weise Kenntnis zu 
nehmen und sich - mit Ausnahme einer 
aktiven Nutzung - darin so „bewegen“ 
zu können wie zuvor die ursprüngliche 
Kontoberechtigte (Az. III ZB 30/20). 

Facebook war durch ein - vom BGH 
(U.v. 12.07.2018 - III ZR 183/17, DANA 
3/2018, 158 f.) bestätigtes - rechtskräf- 
tiges Urteil des Landgerichts (LG) Berlin 
vom 17.12.2015 verurteilt worden denEl- 
tern einer verstorbenen Teilnehmerin an 
dem Netzwerk als Erben Zugang zu dem 
vollständigen Benutzerkonto und den 
darin vorgehaltenen Kommunikationsin- 
halten ihrer Tochter zu gewähren (DANA 
2/2016, 109 f.). Die Tochter war Ende 
2012 in Berlin von einer S-Bahn erfasst 
und getötet worden. Mit dem Zugriff auf 
das von Facebook gesperrte Konto woll- 
ten die Eltern sich die sie quälende Frage 
beantworten, ob es sich um einen Unfall 
oder um Suizid handelte. Facebook hatte 
nun der Mutter der Verstorbenen einen 
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USB-Stick übermittelt, der eine PDF- 
Datei mit mehr als 14.000 Seiten enthält, 
die nach Facebooks Angaben eine Kopie 
der ausgelesenen Daten aus dem von der 
Verstorbenen geführten Konto enthält. 
Diese meinte, dass das soziale Netzwerk 
damit nicht seiner Verpflichtung auf 
Zugang zum Account nachgekommen 
ist, so deren Anwalt Christlieb Klages: 
„Die PDF-Datei war unübersichtlich und 
unstrukturiert, durchzogen von Begriff- 
lichkeiten der Programmierung.” Es habe 
sich um eine „Secondhand-Datei” gehan- 
delt, „weilja nicht das vollständige Kon- 
to an die Eltern übergeben, sondern eine 
Vorauswahl getroffen wurde”. Das Konto 
selbst war damals in einen sog. „Gedenk- 
zustand“ versetzt worden und somit für 
einen Zugriff durch Dritte gesperrt. 

Das LG hatte daraufhin auf Antrag der 
Mutter gegen Facebook wegen Nichter- 
füllung ihrer Verpflichtung aus dem Ur- 
teilvom 17.12.2015 ein Zwangsgeld von 
10.000 € festgesetzt (B.v. 13.02.2019 - 
20 0 172/15). Das Kammergericht (KG) 
hob den Beschluss des LG auf die sofor- 
tige Beschwerde Facebooks auf und wies 
den Antrag auf Festsetzung des Zwangs- 
mittels zurück (B.v. 03.122019 - 21 W 
11/19). Hiergegen hatte sich die vom 
KG zugelassene Rechtsbeschwerde der 
Mutter gerichtet. Facebook hatte sich 
mit dem Argument gewehrt, es wolle das 
Konto des Mädchens vor einer Nutzung 
durch die Eltern schützen. 

Der BGH hob nun den Beschluss 
des KG wieder auf und stellte die er- 
stinstanzliche Entscheidung wieder 
her. Aus dem Urteil des LG Berlin vom 
17.12.2015 ging hervor, dass der Mutter 
nicht nur Zugang zu den im Benutzer- 


Datenschutz 
Nachrichten 


konto vorgehaltenen Kommunikations- 
inhalten zu gewähren, sondern darüber 
hinaus auch die Möglichkeit einzu- 
räumen ist vom Benutzerkonto selbst 
und dessen Inhalt auf dieselbe Art und 
Weise Kenntnis nehmen zu können, wie 
es die ursprüngliche Kontoberechtigte 
konnte. Sowohl das LG wie später der 
BGH hatten diesen Anspruch der Mutter 
gegen Facebook erbrechtlich hergelei- 
tet. Der Nutzungsvertrag zwischen der 
Tochter und Facebook war mit seinen 
Rechten und Pflichten im Wege der 
Gesamtrechtsnachfolge auf die Erben 
übergegangen. Letztere sind hierdurch 
in das Vertragsverhältnis eingetreten 
und haben deshalb als Vertragspartner 
und neue Kontoberechtigte einen Pri- 
märleistungsanspruch auf Zugang zu 
dem Benutzerkonto ihrer Tochter sowie 
den darin enthaltenen digitalen Inhal- 
ten. Aus dieser Stellung der Erben und 
dem auf sie übergegangenen Hauptleis- 
tungsanspruch der Erblasserin aus dem 
mit Facebook bestehenden Vertragsver- 
hältnis folgt ohne weiteres, dass den Er- 
ben auf dieselbe Art und Weise Zugang 
zu dem Benutzerkonto zu gewähren ist 
wie zuvor der Tochter. Die „aktive Wei- 
ternutzung“ des Profils hat der BGH aus- 
drücklich ausgeschlossen. 

Diesen Pflichten war Facebook nicht 
nachgekommen. Durch die Überlassung 
des USB-Sticks mit einer umfangreichen 
PDF-Datei wurde kein vollständiger Zu- 
gang zum Benutzerkonto gewährt. Die 
PDF-Datei bildet das Benutzerkonto 
nicht vollständig ab. Letzteres erfordert 
nicht nur die Darstellung der Inhalte 
des Kontos, sondern auch die Eröffnung 
aller seiner Funktionalitäten - mit Aus- 
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nahme derer, die seine aktive Weiter- 
nutzung betreffen - und der deutschen 
Sprache, in der das Benutzerkonto zu 
Lebzeiten der Erblasserin vertragsge- 
mäß geführt wurde. Diese Vorausset- 
zungen erfüllt die von der Gläubigerin 
übermittelte Datei nicht. 

Der Klägervertreter Medienanwalt 
Klages kommentierte: „Es ist eine 
Entscheidung, die für Tausende Men- 
schen relevant ist, weil sie die Fra- 
ge behandelt, wie ich als Erbe später 
einmal Einsicht nehmen kann in die 
Unterlagen des Erblassers” (BGH, PM 
Nr. 119 v 09.09.2020, Zur Auslegung 
eines Urteils, das die Betreiberin eines 
sozialen Netzwerks verpflichtet, den 
Erben der Berechtigten eines Benutzer- 
kontos Zugang zum vollständigen Konto 
zu gewähren; Barisic, 14000 Seiten PDF 
sind zu wenig, SZ 10.09.2020, 8). 


LAG Niedersachsen 


Auskunftsanspruch er- 
streckt sich nicht auf alle 
Beschäftigten-E-Mails 


Mit Urteil vom 09.06.2020 hat das 
Landesarbeitsgericht Niedersachsen 
(LAG) entschieden, dass ein ehemaliger 
Beschäftigter keinen Anspruch darauf 
hat Kopien sämtlicher E-Mails zu ver- 
langen, die er während seiner berufli- 
chen Tätigkeit verfasst hatte (Az. 9 Sa 
608/19). Gemäß Art. 15 DSGVO sind 
Arbeitgeber verpflichtet auf Antrag 
von gegenwärtigen oder ehemaligen 
Beschäftigten innerhalb eines Monats 
(vollständige) Auskünfte über die im 
Arbeitsverhältnis verarbeiteten perso- 
nenbezogenen Daten zu gewähren. 

Nach Auffassung des LAG sind von dem 
Auskunftsanspruch gemäß Art. 15 DSGVO 
jedoch nicht die eigenen E-Mails des ehe- 
maligen Beschäftigten umfasst, da diese 
dem Beschäftigten bereits bekannt sind: 

„Dem Kläger ist der E-Mail-Verkehr, 
den er selbst geführt oder erhalten hat, 
bekannt, sodass es nach dem Schutz- 
zweck keinen Anlass gibt, diesen ge- 
samten E-Mail-Verkehr zur Verfügung zu 
stellen. Sinn und Zweck der Auskunfts- 
erteilung und Zurverfügungstellung 
einer Kopie ist es, den betroffenen Per- 
sonen eine Überprüfung der Datenver- 
arbeitung zu ermöglichen, nicht aber 
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vollständige Kopien aller Unterlagen zu 
erhalten, in denen personenbezogene 
Daten über sie enthalten sind”. 

In der obergerichtlichen Rechtspre- 
chung wird der Umfang des Auskunfts- 
anspruchs nach Art. 15 DSGVO unter- 
schiedlich beurteilt. So geht z.B. das 
Oberlandesgericht Köln davon aus, dass 
unter die Vorschrift „sowohl im Kontext 
verwendete persönliche Informationen 
wie Identifikationsmerkmale (z.B. Name, 
Anschrift und Geburtsdatum), äußere 
Merkmale (wie Geschlecht, Augenfarbe, 
Größe und Gewicht) oder innere Zustän- 
de (z.B. Meinungen, Motive, Wünsche, 
Überzeugungen und Werturteile), als 
auch sachliche Informationen wie etwa 
Vermögens- und Eigentumsverhältnisse, 
Kommunikations- und Vertragsbezie- 
hungen und alle sonstigen Beziehungen 
der betroffenen Person zu Dritten und ih- 
rer Umwelt” fallen (LAG Niedersachsen: 
Auskunftsanspruch nach DSGVO erfasst 
nicht E-Mails des ehemaligen Beschäf- 
tigten, www.anwalt.de 22.10.2020). 


LAG Berlin-Brandenburg 


Arbeitszeitnachweis per 
Fingerabdruckscanner 
bleibt freiwillig 


Das Landesarbeitsgericht Berlin- 
Brandenburg (LAG) hat mit Urteil vom 
04.06.2020 auf die Klage eines medizi- 
nisch-technischen Assistenten hin ent- 
schieden, dass dieser vom Arbeitgeber, 
einer radiologischen Praxis, nicht ver- 
pflichtet werden kann, seine Arbeitszeit 
mit seinem Fingerabdruck nachzuwei- 
sen (Az.: 10 Sa 2130/19). Eine Revision 
zum Bundesarbeitsgericht (BAG) wurde 
nicht zugelassen. 

Die Erfassung biometrischer Daten 
sei in dem Fall nicht ohne Einwilligung 
des Arbeitnehmers zulässig. Eine Ver- 
arbeitung solcher Daten sei nach der 
Datenschutz-Grundverordnung nur aus- 
nahmsweise möglich. Das System, das 
zum Einsatz kommen sollte, erfasst den 
Fingerabdruck nicht als Ganzes, sondern 
Fingerlinienverzweigungen. Der Assis- 
tent hatte diese Erfassung abgelehnt und 
eine Abmahnung des Arbeitgebers kas- 
siert, wogegen er vor Gericht zog. 

Auch wenn das System nur Fingerlini- 
enverzweigungen verarbeitet, handele 


es sich, so das Gericht, um biometri- 
sche Daten. Es konnte in dem Fall nicht 
feststellen, dass eine solche Erfassung 
erforderlich ist. Die Weigerung des Assis- 
tenten ist daher keine Pflichtverletzung. 
Er kann verlangen, dass die Abmah- 
nung aus der Personalakte entfernt wird 
(Költzsch, Arbeitnehmer müssen Finger- 
abdruck nicht bereitstellen, www.golem. 
de 25.08.2020). 


LG Dresden 


Anspruch auf unentgelt- 
liche Auskunft über 
Krankenhausbehandlung 


Das Landgericht Dresden (LG) hat mit 
Urteil vom 29.05.2020 entschieden, dass 
Patienten von einem Krankenhaus die 
kostenlose Herausgabe ihrer abgespei- 
cherten personenbezogenen Daten ver- 
langen können, wobeies nicht daraufan- 
kommt, für welche Zwecke die Patienten 
sie benötigen (Az.: 0 76/20). In dem Fall 
forderte eine Frau unter Bezugnahme 
auf die Datenschutz-Grundverordnung 
(DSGVO) von einer Klinik unentgeltlich 
Auskunft über ihre personenbezogenen 
Daten und damit auch ihre Behandlung, 
die nach ihrer Ansicht fehlerhaft gewe- 
sen ist. Die Klinik hatte eine Zusendung 
ohne Kostenübernahmeerklärung abge- 
lehnt. Dabei ging es um eine Summe von 
knapp sechs Euro für einen USB-Stick 
und die anfallenden Portokosten. Die 
Frau beharrte mit Erfolg darauf, dass die 
Klinik ihr die vollständige Dokumenta- 
tion der Behandlung als PDF-Dokument 
unentgeltlich zukommen lässt. 

Das LG entschied, die Klägerin habe 
Anspruch auf die kostenlose Übermitt- 
lung der Daten. Die Speicherung ge- 
sundheitsbezogener Daten falle in den 
Anwendungsbereich der DSGVO. Die Kli- 
nik könne die Zusendung dieser Daten 
nicht von der Übernahme der Kosten 
abhängig machen. Die erstmalige Her- 
ausgabe müsse kostenlos erfolgen und 
die Unterlagen - sofern gewünscht - in 
einem elektronischen Format übermit- 
telt werden. Keine Rolle spiele dabei, für 
welchen Zweck der datenschutzrechtli- 
che Auskunftsanspruch erhoben werde 
(Krankenhaus muss Patientin kostenlos 
Daten übermitteln, www.rheinpfalz.de 
22.09.2020). 
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Buchbesprechungen 


NOMOSKOMMENTAR 


Kugelmann Ping] 


ETRSITEI SE 
schutzgesetz 


Kugelmann, Prof. Dr. Dieter (Hrsg.) 
Landesdatenschutzgesetz Rheinland- 
Pfalz - Handkommentar 

1. Auflage 2020, 608 Seiten, 

ISBN 978-3-8487-5428-1, 98,- € 


(wh) Der seit dem 01. Oktober 2015 
amtierende Landesbeauftragte für den 
Datenschutz und die Informationsfrei- 
heit in Rheinland-Pfalz hat als Heraus- 
geber eine illustre Schar renommierter 
AutorInnen versammelt, die diesen 
Handkommentar erstellt haben. Eines 
der wesentlichen Ziele dieses Kom- 
mentars sei es, schreibt Kugelmann in 
seinem Vorwort, „die Regeln des Lan- 
desdatenschutzgesetzes zu erläutern, 
indem ihre Zusammenhänge [mit der 
DSGVO und der JI-Richtlinie] verdeut- 
licht werden.” Kugelmann stellt in sei- 
ner Kommentierung des & 1 des Landes- 
datenschutzgesetzes Rheinland-Pfalz 
(LDSG-RP) die Zusammenhänge des 
LDSG-RP nicht nur mit der DSGVO und 
der JI-Richtlinie dar, sondern ordnet es 
auch tiefergehend in die Kombination 
aus Grundrechten aus dem Grundge- 
setz, der Rheinland-Pfälzischen Verfas- 
sung und den Art. 7 und 8 der Europäi- 
schen Grundrechtecharta ein. Nicht un- 
erwähnt lässt Kugelmann die Tatsache, 
dass Rheinland-Pfalz als drittes Land 
bereits 1974 nach Hessen (1970, nach- 
träglich herzlichen Glückwunsch zum 
50. Geburtstag) und Schweden (1973) 
ein Datenschutzgesetz erließ. Wichtig 
ist auch die Einordnung des LDSG RP 
zwischen DSGVO und bereichsspezi- 
fischen Datenschutzregelungen („lex 
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specialis”). Der Anwendungsvorrang 
der DSGVO wird ausführlich erörtert 
und am Beispiel des $ 4 BDSG „Video- 
überwachung öffentlich zugänglicher 
Räume” dargestellt. Mit der Begrün- 
dung des BVerwG, das die Anwendbar- 
keit des 8 4 BDSG für nichtöffentliche 
Stellen verneint hat, sieht Kugelmann 
auch die Nichtanwendbarkeit der ent- 
sprechenden Regelung aus & 21 Abs. 1 
Satz 2 gegeben. Der Kommentator dieses 
Paragraphen formuliert es hier etwas 
vorsichtiger, er schreibt von Zweifeln an 
der Vereinbarkeit dieser Regelung mit 
dem Europarecht. 

Die Kommentierung kann als gelun- 
gen bezeichnet werden. Die hergestell- 
ten europarechtlichen Bezüge sowie 
die Verweise auf das Bundesdaten- 
schutzgesetz und auf Vorgängerrege- 
lungen in Rheinland-Pfalz sind bei der 
Interpretation des aktuellen LDSG-RP 
sehr hilfreich. Ein ausführliches Stich- 
wortverzeichnis rundet das Werk ab, so 
dass der Autor dieser Rezension dieses 
Werk all denen empfehlen kann, die 
sich mit dem rheinland-pfälzischen 
Datenschutzrecht beschäftigen wollen 
oder müssen. 


ä 


Dennis-Kenji Kipker (Hrsq.) 
Cybersecurity - Rechtshandbuch 
1. Auflage 2020, 597 Seiten, 
ISBN 978-3-406-73011-5, 119,- € 


(rz) Das Buch „Cybersecurity” ist ein 
in jeder Hinsicht beachtliches Werk zur 
Cyber-Sicherheit. 


Cyber-Sicherheit, als Oberbegriff zu 
den Themenfeldern Datensicherheit, 
Datenschutz, IT- und Informationssi- 
cherheit, hat im Hinblick auf die gro- 
ßen IT-Sicherheitsvorfälle der letzten 
Jahre erheblich an Bedeutung gewon- 
nen. Dieses umfassende Werk gibt der 
spannenden und bisher unzureichend 
betrachteten Gemengelage zwischen 
Datenschutzrecht, IT-Sicherheitsrecht 
und Informationssicherheitsrecht dabei 
zunächst eine Struktur. Der Leser erhält 
einen umfassenden und leicht nachvoll- 
ziehbaren Überblick über die einzelnen 
Themenbereiche und deren Beziehun- 
gen zueinander. 

Besonders hervorzuheben sind dabei 
die technischen Erläuterungen. So sind 
gerade die Erläuterungen der techni- 
schen Grundlagen der Informationssi- 
cherheit von besonderem praktischen 
Nutzen und auch für Nicht-Techniker 
sehr gut nachvollziehbar. 

Für Datenschützer von besonderem 
Interesse dürfte - neben den Ausfüh- 
rungen zum Datenschutz selbst - in 
diesem Zusammenhang besonders auch 
das Kapitel zum „Stand der Technik” 
sein. 

Unter rechtlichen Aspekten werden 
alle relevanten Rechtsbereiche mit Be- 
zug zur Cyber-Sicherheit dargestellt, 
wie bspw. das IT-Vertragsrecht, das zivi- 
le Haftungsrecht, das Arbeitsrecht und 
die verschiedenen Aspekte des IP- und 
Wettbewerbsrechts. Abgerundet wird 
dies durch die Darstellungen internati- 
onaler Rahmenvorgaben einschließlich 
des Völkerrechts. 

Bemerkenswert ist dabei der stets 
sehr hohe Praxisbezug. So wirdin weite- 
ren Kapiteln auf die Verantwortlichkeit, 
die Implementierung und die Corporate 
Governance rund um das Thema Cyber- 
Sicherheit eingegangen. Auch finden 
sich branchenübergreifende Vorgaben 
zur IT-Sicherheit und spezifische Son- 
derkonstellationen wie das Cloud Com- 
puting oder BYOD. In eigenen Kapiteln 
werden die prozessuale Durchsetzung 
sowie die Themen Gefahrenabwehr und 
Sanktionierung dargestellt. 
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Darüber hinaus wird durch eine be- 
sondere Betrachtung und Einordnung 
von kritischen Infrastrukturen und ein 
Kapitel zum Recht der Nachrichten- 
dienste im Ergebnis den meisten Lesern 
ein noch nie dagewesenes Gesamtbild 
der Cyber-Sicherheit geboten. 

Fazit: Mit diesem Werk tritt das Recht 
der Cyber-Sicherheit nun endgültig aus 
dem Schatten des Datenschutzrechts 
heraus, wo es bisher meist nur als „tech- 
nisches Anhängsel” betrachtet wurde. 
Dort wo der Datenschutz auf die tech- 
nischen und organisatorischen Maß- 
nahmen trifft, setzt dieses Buch mit 
seinem 360 Grad Blick auf die durchaus 
komplexe Schnittmenge zwischen Da- 
tenschutz, Informationssicherheit und 
IT-Sicherheit neue Maßstäbe. Es han- 
delt sich damit um ein Grundlagen- und 
Standardwerk, das jedem Studenten, 
Praktiker und Akademiker, der sich mit 
dem Thema Datenschutz, Informations- 
sicherheit oder IT-Sicherheit befasst, 
dringend ans Herz gelegt werden muss. 


r. Nomos 
w 


RADr. Florian Sackmann 

Datenschutz bei der Digitalisierung 
der Mobilität - Eine sektorspezifische 
Analyse der Leistungsfähigkeit und 
des Weiterentwicklungsbedarfs der 
Datenschutzordnung, 1. Auflage 2020, 
211 Seiten, ISBN 978-3-8487-6652-9 
(Softcover), ISBN 978-3-7489-0731-2 
(eBook), je 54,- € - Dieses Werk ist 
Band 43 der „Reihe Recht der Informa- 
tionsgesellschaft”, die seit Band 34 im 
Nomos-Verlag erscheint. 


(wh) Das Werk wurde als Dissertati- 
on an der Universität Regensburg an- 
genommen und ist entsprechend wis- 
senschaftlich gestaltet. Üblicherweise 
erwartet der Autor dieser Rezension im 
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Vorwort ein paar Sätze zum Ziel oder In- 
halt des Werkes, hier sind es nur Dank- 
sagungen. Aber ein Blick auf die ent- 
sprechende Webseite des Verlags hilft 
hier weiter. Die Ziele der Arbeit sind: 
„in einer Realweltanalyse die besonde- 
ren Herausforderungen für den Schutz 
der Privatsphäre, die sich durch eine 
datengetriebene Mobilität stellen” zu 
identifizieren, „auf der Basis des gelten- 
den Rechts” Lösungsmöglichkeiten zu 
entwickeln und Defizite des geltenden 
Datenschutzrechts herauszuarbeiten. 
„Daraus wird schließlich der aktuelle 
legislative Handlungsbedarf ermittelt.” 

Zu Beginn werden insbesondere die 
Begriffe Digitalisierung und Mobilitätin 
ihrer im Werk verwendeten Bedeutung 
herausgearbeitet. Deutlich wird hier, 
dass in der Arbeit - verständlicherweise 
- „die Mobilität im Sinne des Personen- 
verkehrs untersucht” wird. Hier ist der 
Personenbezug im Zusammenhang mit 
der Mobilität am größten. Betrachtet 
werden in Fallstudien die drei Bereiche 
„Der individuelle Straßenverkehr”, „Di- 
gitale Dienste im öffentlichen Personen- 
verkehr“ und „Digitale Dienste im Luft- 
verkehr”. Dabei wird im ersten Bereich 
zwar auf Mitfahrzentralen und das so- 
genannte „free floating carsharing” ein- 
gegangen, nicht aber auf datenschutz- 
rechtliche Fragestellungen, die sich bei 
der Nutzung von Mietwagen ergeben. 
Im anschließenden Abschnitt erfolgt 
eine Einordnung des EU-Datenschutz- 
rechts, selbstverständlich unter Erwäh- 
nung der Art. 7 und 8 der Europäischen 
Grundrechtecharta. Die Anwendbarkeit 
von EU-Datenschutzrecht, BDSG und 
Landesdatenschutzgesetzen - letzteres 
im Bereich des ÖPNV - wird als Problem 
dargestellt. Der Autor sieht trotz der 
DSGVO eine zu große Heterogenität des 
EU-Datenschutzrechts, die sich seiner 
Auffassung nach als „entwicklungshem- 
mend” erweist. Die Fragestellungen, 
welche der anfallenden Mobilitätsdaten 
personenbezogene Daten sind und wer 
für diese Daten der Verantwortliche im 
Sinne der DSGVO ist, werden ausführlich 
erörtert. Beruhigend ist, dass der Autor 
der Ansichtist, „dass die sich stellenden 
Probleme durch das gegenwärtige Recht 
lösbar sind”, auch wenn „Rechtsunsi- 
cherheit und Bürokratie [...] die Kern- 
defizite der Datenschutzordnung für 
den Mobilitätssektor” seien. Die folgen- 


den Lösungsansätze sind interessant 
und diskussionswürdig. 

Zwar gibt es ein ausführliches Lite- 
raturverzeichnis, aber ein Stichwort- 
verzeichnis fehlt leider. Trotz dieses 
Mangels gibt dieses Werk einen guten 
und umfassenden Überblick zu den da- 
tenschutzrechtlichen Herausforderun- 
gen, die sich durch die Digitalisierung 
der Mobilität ergeben. Durch die dar- 
gestellten Lösungsansätze werden zu- 
dem Möglichkeiten gezeigt, wie diesen 
Herausforderungen zumindest daten- 
schutzrechtlich begegnet werden kann. 


BERGMANN/MÖHRLE/HERB 
Ay 


BIBOORBERG 


Bergmann, Lutz (verst.)/ 

Möhrle, Roland/Herb, Armin 
Datenschutzrecht 

Boorberg Stuttgart 

60. Ergänzungslieferung, August 2020 


(tw) Die Besprechung von Loseblatt- 
sammlungen ist immer mit einer gewis- 
sen Ungewissheit verbunden: Es ändert 
sich regelmäßig nicht nur das Recht, 
sondern auch der Inhalt. Es lohnt sich, 
Aktualisierungen vorzunehmen, selbst 
wenn diese nur einen Zwischenstand 
wiedergeben. Das gilt insbesondere für 
den Bergmann/Möhrle/Herb, zitiert oft 
abgekürzt mit „BMH”. Es handelt sich 
dabei wohl um die meistzitierte und 
bestsortierte Loseblattsammlung zum 
deutschen Datenschutzrecht, die aber 
mit den schnell folgenden Neuauflagen 
der gebundenen Kommentierungen zu 
der DSGVO und zum BDSG nicht Schritt 
halten kann. Dennoch: Der BMH holt 
auf (vgl. DANA 3/2017, 179). Die 60. Er- 
gänzungslieferung überholt sogar ver- 
einzelt andere Grundsatzwerke, indem 
sie z.B. das neu 2020 verabschiedete 
„Datenschutz-Grundverordnungs-Aus- 
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füllungsgesetz Sachsen-Anhalt” doku- 
mentiert. Waren die Landesgesetze in 
den Frühzeiten des Datenschutzes die 
Trendsetter des Rechtsgebiets, so sind 
sie inzwischen weitergehend verdrängt 
und erfüllen nur Lücken-Ausfüllungs- 
funktion. Im öffentlichen Bereich blei- 
ben sie aber weiterhin von Relevanz; in- 
sofern ist der Zugriff auf sie wichtig, der 
durch den BMH aktuell bzgl. aller Län- 
der gewährleistet wird. Entsprechendes 
gilt für die Kirchengesetze. 

Ein früher Vorteil des BMH bestand 
darin, dass wichtige bereichsspezifi- 
sche Regelungen dokumentiert und 
kommentiert wurden. Diesen Vorteil 
aufrecht zu erhalten, schaffen die neu- 
en Ausgaben des BMH nicht mehr. Das 
Telekommunikations- und Medienrecht 
ist in einem Umbruch, ebenso das So- 
zialrecht, das vorläufig ganz aus dem 
BMH verschwunden ist; beim Bundes- 
meldegesetz bleibt es weitgehend beim 
Abdruck des Gesetzes. Die Ausdifferen- 
zierung des spezifischen Datenschutz- 
rechts setzt hier Grenzen. 

Im Vordergrund steht aber natürlich 
die DSGVO. Und hier erreicht der BMH 
inzwischen einen Umfang, der es er- 
laubt, ihn auch bei Spezialfragen zu 
Rate zu ziehen, ohne Gefahr zu laufen, 
auf eine Lücke zu stoßen. Die aktuelle 
Ergänzungslieferung liefert Kommenta- 
re zu den Art. 37-43, 50, 53, 54, 69-76, 
81-88. Damit fehlen nur noch wenige 
Regelungen, nämlich die Art. 46-49, 
52, 55-57, 62-67 - alles Normen, die 
in der praktischen Anwendung eher 
nicht im Fokus stehen. Förderlich bei 
den Kommentierungen ist, dass die- 
se zurückgreifen auf die gebundenen 
Kommentare und damit einen kurzen 
Überblick über den Diskussionsstand 
zu einzelnen Normen geben. Inhaltlich 
bewegen sich die Ausführungen auf 
einem guten Niveau. Zugleich ist aber 
festzustellen, dass die Kommentierun- 
gen oft an der Oberfläche bleiben und 
kurz geraten sind. Der BMH zum alten 
BDSG zeichnete sich dadurch aus, dass 
in Ergänzungslieferungen zunächst ru- 
dimentäre Erläuterungen durch sehr tief 
gehende ersetzt wurden. Insofern be- 
steht, nachdem Vollständigkeit erreicht 
wird, Luft nach oben. Für den schnellen 
Überblick und das Nachschlagen zu spe- 
ziellen Fragen ist der BMH heute wieder 
eine wichtige Hilfe. 
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Dr. Martin Zilkens 

und Dr. Lutz Gollan (Hrsq.) 
Datenschutz in der Kommunalverwal- 
tung - Recht - Technik - Organisation 
5. Auflage 2019, 785 Seiten, ISBN 978- 
3-503-18758-4, 108,- € 


(wh) Sich mit dem Datenschutz 
in der Kommunalverwaltung zu be- 
schäftigen ist aufgrund der föderalen 
Struktur Deutschlands eine herausfor- 
dernde Aufgabe. Schließlich gilt für 
die Kommunen ergänzend zur EU-Da- 
tenschutz-Grundverordnung (DSGVO) 
und bereichsspezifischen Gesetzen auf 
Bundes- und Länderebene das jeweili- 
ge Landesdatenschutzgesetz. Hierzu ist 
allerdings festzustellen, dass in diesem 
Werk auf Landesebene in erster Linie 
das nordrhein-westfälische Recht bei- 
spielhaft berücksichtigt wird. Dies ist 
vermutlich auch der Tatsache geschul- 
det, dass die Hälfte der AutorInnen in 
Nordrhein-Westfalen tätig ist. Insoweit 
ist es vorteilhaft, dass ein Teil der lan- 
desrechtlichen Datenschutzregelungen 
durch die DSGVO ersetzt wurde und im 
Bereich der Anwendbarkeit der DSGVO 
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nun für alle Bundesländer grundsätz- 
lich einheitliche Regelungen gelten. 
Einer der Herausgeber sieht es dagegen 
seit dem Gültigwerden der DSGVO als 
schwieriger als vorher an, die jeweils 
anzuwendende Datenschutzvorschrift 
herauszufinden. Dies wird mit Ausnah- 
men und Gegenausnahmen begründet, 
so als ob es diese im Datenschutzrecht 
nicht auch schon bereits vor der DSGVO 
gegeben hätte. 

Nach einer umfassenden Darlegung 
der Grundlagen des Datenschutzrechts 
werdenim Kapitel „7 Bereichspezifischer 
Datenschutz” die datenschutzrechtli- 
chen Besonderheiten der wesentlichen 
Bereiche der Kommunalverwaltung er- 
örtert. Dem Beschäftigtendatenschutz 
wird ebenso wie dem „Datenschutz bei 
kommunalen Belangen“ jeweils ein ei- 
genes ausführliches Kapitel gewidmet. 
Kapitel zur „Datenschutzkontrolle und 
Aufsicht”, zu Dienst- und Geschäftsan- 
weisungen sowie zum technischen Da- 
tenschutzrunden das Werk ab. Ein Kapi- 
tel über das „öffentliche Informations- 
zugangsrecht” schließt dieses Werk ab. 
Dabei ist es wenig verwunderlich, dass 
hier nicht auf die in den verschiedenen 
Bundesländern geltenden Regelungen 
eingegangen werden kann, denn dies 
würde ein eigenständiges umfangrei- 
ches Werk erfordern. Am Beispiel der 
nordrhein-westfälischen Regelungen 
wird das Zusammenspiel zwischen den 
Regelungen zu Informationsfreiheit auf 
Bundes- und Landesebene anschaulich 
dargestellt. Dieses Werk ist im Bereich 
des kommunalen Datenschutzes eine 
hilfreiche Ergänzung zu einem Kom- 
mentar des in der Kommune geltenden 
Landesdatenschutzgesetzes. 
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Die EU möchte unterder 
deutschen Ratspräsidentschaft 


die Verschlüsselung bei der 
Internetkommunikation für die 
Arbeit von Ermittlungsbehörden 

mit Hintertüren aushebeln. 


Das eröffnet ungeahnte Möglichkeiten 
für menschenrechtsverachtende 
Regierungen und Kriminelle. 


